Jos tarkastelet minkä tahansa palomuurin asetuksia, näemme todennäköisesti arkin, jossa on joukko IP-osoitteita, portteja, protokollia ja aliverkkoja. Näin verkon suojauskäytännöt käyttäjien pääsylle resursseihin toteutetaan perinteisesti. Aluksi kokoonpanossa yritetään ylläpitää järjestystä, mutta sitten työntekijät alkavat siirtyä osastolta osastolle, palvelimet lisääntyvät ja vaihtuvat rooleihinsa, pääsy eri projekteihin ilmestyy sinne, missä niitä ei yleensä sallita, ja satoja tuntemattomia vuohipolkuja ilmaantuu.
Joidenkin sääntöjen lisäksi, jos olet onnekas, on kommentit "Vasya pyysi minua tekemään tämän" tai "Tämä on kulku DMZ:lle". Verkon ylläpitäjä lopettaa, ja kaikki tulee täysin epäselväksi. Sitten joku päätti tyhjentää Vasyan asetukset, ja SAP kaatui, koska Vasya pyysi kerran tätä pääsyä taistelu-SAP:n suorittamiseen.
Tänään puhun VMware NSX -ratkaisusta, joka auttaa soveltamaan verkkoviestintä- ja suojauskäytäntöjä tarkasti ilman hämmennystä palomuurin asetuksissa. Näytän sinulle, mitä uusia ominaisuuksia on ilmestynyt verrattuna siihen, mitä VMwarella oli aiemmin tässä osassa.
VMWare NSX on virtualisointi- ja suojausalusta verkkopalveluille. NSX ratkaisee reitityksen, kytkennän, kuormituksen tasapainottamisen, palomuurin ongelmat ja voi tehdä monia muita mielenkiintoisia asioita.
NSX on VMwaren oman vCloud Networking and Security (vCNS) -tuotteen ja hankitun Nicira NVP:n seuraaja.
vCNS:stä NSX:ään
Aikaisemmin asiakkaalla oli erillinen vCNS vShield Edge -virtuaalikone pilvessä, joka oli rakennettu VMware vCloudiin. Se toimi rajayhdyskäytävänä, jossa oli mahdollista konfiguroida monia verkkotoimintoja: NAT, DHCP, palomuuri, VPN, kuormituksen tasapainottaja jne. vShield Edge rajoitti virtuaalikoneen vuorovaikutusta ulkomaailmaan ohjeissa määriteltyjen sääntöjen mukaisesti. Palomuuri ja NAT. Verkon sisällä virtuaalikoneet kommunikoivat keskenään vapaasti aliverkoissa. Jos todella haluat jakaa ja valloittaa liikennettä, voit tehdä erillisen verkon sovellusten yksittäisille osille (eri virtuaalikoneen) ja asettaa palomuurissa sopivat säännöt niiden verkkovuorovaikutukselle. Mutta tämä on pitkä, vaikea ja epäkiinnostava, varsinkin kun sinulla on useita kymmeniä virtuaalikoneita.
NSX:ssä VMware toteutti mikrosegmentoinnin konseptin käyttämällä hypervisor-ytimeen sisäänrakennettua hajautettua palomuuria. Se määrittelee tietoturva- ja verkkovuorovaikutuskäytännöt IP- ja MAC-osoitteiden lisäksi myös muille objekteille: virtuaalikoneita, sovelluksia. Jos NSX on otettu käyttöön organisaatiossa, nämä objektit voivat olla Active Directoryn käyttäjä tai käyttäjäryhmä. Jokainen tällainen objekti muuttuu mikrosegmentiksi omassa suojasilmukassaan, vaaditussa aliverkossa, omalla kodikkaalla DMZ:llä :).
Aiemmin koko resurssien suojapiiri oli vain yksi reunakytkimellä suojattu, mutta NSX:n avulla voit suojata erillisen virtuaalikoneen tarpeettomilta vuorovaikutuksilta jopa saman verkon sisällä.
Suojaus- ja verkkokäytännöt mukautuvat, jos kokonaisuus siirtyy toiseen verkkoon. Jos esimerkiksi siirrämme tietokannan sisältävän koneen toiseen verkkosegmenttiin tai jopa toiseen yhdistettyyn virtuaaliseen datakeskukseen, tälle virtuaalikoneelle kirjoitetut säännöt pysyvät voimassa sen uudesta sijainnista riippumatta. Sovelluspalvelin pystyy edelleen kommunikoimaan tietokannan kanssa.
Itse reunayhdyskäytävä, vCNS vShield Edge, on korvattu NSX Edgellä. Siinä on kaikki vanhan Edgen herrasmiesominaisuudet sekä muutamia uusia hyödyllisiä ominaisuuksia. Puhumme niistä lisää.
Mitä uutta NSX Edgessä?
NSX Edgen toiminnallisuus riippuu NSX. Niitä on viisi: Standard, Professional, Advanced, Enterprise, Plus Remote Branch Office. Kaikki uusi ja mielenkiintoinen voidaan nähdä vasta Advancedista alkaen. Sisältää uuden käyttöliittymän, joka avautuu uudelle välilehdelle, kunnes vCloud siirtyy kokonaan HTML5:een (VMware lupaa kesää 2019).
Palomuuri. Voit valita IP-osoitteita, verkkoja, yhdyskäytävärajapintoja ja virtuaalikoneita objekteiksi, joihin sääntöjä sovelletaan.
DHCP. Sen lisäksi, että NSX Edge määrittää IP-osoitteiden alueen, joka myönnetään automaattisesti tämän verkon virtuaalikoneen, siinä on nyt seuraavat toiminnot: Sitova и Rele.
Välilehdellä siteet Voit sitoa virtuaalikoneen MAC-osoitteen IP-osoitteeseen, jos haluat, ettei IP-osoite muutu. Tärkeintä on, että tämä IP-osoite ei sisälly DHCP-pooliin.
Välilehdellä Rele DHCP-viestien välitys on määritetty DHCP-palvelimille, jotka sijaitsevat organisaatiosi ulkopuolella vCloud Directorissa, mukaan lukien fyysisen infrastruktuurin DHCP-palvelimet.
Reititys. vShield Edge pystyi määrittämään vain staattisen reitityksen. Dynaaminen reititys OSPF- ja BGP-protokollien tuella ilmestyi tänne. Myös ECMP (Active-active) -asetukset ovat tulleet saataville, mikä tarkoittaa aktiivista-aktiivista vikasietoa fyysisille reitittimille.
OSPF:n asettaminen
BGP:n asetukset
Toinen uusi asia on reittien siirron asettaminen eri protokollien välillä,
reittien uudelleenjako.
L4/L7 Kuormantasaaja. X-Forwarded-For otettiin käyttöön HTTPs-otsikossa. Kaikki itkivät ilman häntä. Sinulla on esimerkiksi verkkosivusto, jota tasapainotat. Ilman tämän otsikon välittämistä kaikki toimii, mutta verkkopalvelimen tilastoissa et nähnyt vierailijoiden IP: tä, vaan tasapainottimen IP: tä. Nyt kaikki on oikein.
Myös Sovellussäännöt-välilehdessä voit nyt lisätä komentosarjoja, jotka ohjaavat suoraan liikenteen tasapainottamista.
VPN. IPSec VPN:n lisäksi NSX Edge tukee:
- L2 VPN, jonka avulla voit laajentaa verkkoja maantieteellisesti hajallaan olevien paikkojen välillä. Tällaista VPN:ää tarvitaan esimerkiksi siksi, että virtuaalikone pysyy toiselle sivustolle siirrettäessä samassa aliverkossa ja säilyttää IP-osoitteensa.
- SSL VPN Plus, jonka avulla käyttäjät voivat muodostaa etäyhteyden yrityksen verkkoon. vSphere-tasolla oli tällainen toiminto, mutta vCloud Directorille tämä on innovaatio.
SSL-sertifikaatit. Sertifikaatit voidaan nyt asentaa NSX Edgeen. Tämä tulee jälleen kysymykseen, kuka tarvitsi tasapainottimen ilman https-sertifikaattia.
Objektien ryhmittely. Tässä välilehdessä on määritetty objektiryhmät, joihin sovelletaan tiettyjä verkkovuorovaikutussääntöjä, esimerkiksi palomuurisääntöjä.
Nämä objektit voivat olla IP- ja MAC-osoitteita.
Siellä on myös luettelo palveluista (protokolla-porttiyhdistelmä) ja sovelluksista, joita voidaan käyttää palomuurisääntöjä luotaessa. Vain vCD-portaalin ylläpitäjä voi lisätä uusia palveluita ja sovelluksia.
Tilastot. Yhteystilastot: liikenne, joka kulkee yhdyskäytävän, palomuurin ja tasapainottimen kautta.
Jokaisen IPSEC VPN- ja L2 VPN-tunnelin tila ja tilastot.
Kirjaaminen. Edge Settings -välilehdellä voit määrittää palvelimen lokien tallennusta varten. Kirjaus toimii DNAT/SNAT-, DHCP-, palomuuri-, reititys-, balansointi-, IPsec VPN- ja SSL VPN Plus -laitteissa.
Seuraavat hälytykset ovat saatavilla jokaiselle kohteelle/palvelulle:
— Debug
— Varoitus
– Kriittinen
- Virhe
-Varoitus
- Ilmoitus
— Tietoa
NSX reunan mitat
Riippuen ratkaistavista tehtävistä ja VMwaren määrästä luo NSX Edge seuraavissa koossa:
NSX Edge
(Kompakti)
NSX Edge
(Suuri)
NSX Edge
(neli iso)
NSX Edge
(X-suuri)
vCPU
1
2
4
6
Muisti
512MB
1GB
1GB
8GB
Levy
512MB
512MB
512MB
4.5GB + 4GB
Nimittäminen
Yksi asia
sovellus, testi
datakeskus
Pieni
tai keskimäärin
datakeskus
Ladattu
palomuuri
tasapainotus
kuormitukset tasolla L7
Alla olevassa taulukossa on verkkopalveluiden toimintamittarit NSX Edgen koosta riippuen.
NSX Edge
(Kompakti)
NSX Edge
(Suuri)
NSX Edge
(neli iso)
NSX Edge
(X-suuri)
Liitännät
10
10
10
10
Alaliitännät (runko)
200
200
200
200
NAT-säännöt
2,048
4,096
4,096
8,192
ARP-merkinnät
Korvaamiseen asti
1,024
2,048
2,048
2,048
FW säännöt
2000
2000
2000
2000
FW-suorituskyky
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP-altaat
20,000
20,000
20,000
20,000
ECMP-polut
8
8
8
8
Staattiset reitit
2,048
2,048
2,048
2,048
LB-altaat
64
64
64
1,024
LB-virtuaalipalvelimet
64
64
64
1,024
LB-palvelin/allas
32
32
32
32
LB:n terveystarkastukset
320
320
320
3,072
LB:n hakusäännöt
4,096
4,096
4,096
4,096
L2VPN-asiakaskeskus
5
5
5
5
L2VPN-verkot asiakasta/palvelinta kohti
200
200
200
200
IPSec tunnelit
512
1,600
4,096
6,000
SSLVPN-tunnelit
50
100
100
1,000
SSLVPN:n yksityiset verkot
16
16
16
16
Samanaikaiset istunnot
64,000
1,000,000
1,000,000
1,000,000
Istunnot/Sekunti
8,000
50,000
50,000
50,000
LB-läpivirtaus L7-välityspalvelin)
2.2Gbps
2.2Gbps
3Gbps
LB-suorituskyky L4-tila)
6Gbps
6Gbps
6Gbps
LB-yhteydet (L7-välityspalvelin)
46,000
50,000
50,000
LB samanaikaiset yhteydet (L7-välityspalvelin)
8,000
60,000
60,000
LB-liitännät/s (L4-tila)
50,000
50,000
50,000
LB rinnakkaiset yhteydet (L4-tila)
600,000
1,000,000
1,000,000
BGP-reitit
20,000
50,000
250,000
250,000
BGP naapurit
10
20
100
100
BGP-reitit jaettu uudelleen
No Limit
No Limit
No Limit
No Limit
OSPF reitit
20,000
50,000
100,000
100,000
OSPF LSA -merkinnät Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF:n läheisyydet
10
20
40
40
OSPF-reitit jaettu uudelleen
2000
5000
20,000
20,000
Reittejä yhteensä
20,000
50,000
250,000
250,000
→
Taulukosta käy ilmi, että on suositeltavaa järjestää tasapainotus NSX Edgen tuottaville skenaarioille vain Large-koosta alkaen.
Siinä kaikki mitä minulla on tälle päivälle. Seuraavissa osissa käyn läpi yksityiskohtaisesti kunkin NSX Edge -verkkopalvelun määrittämisen.
Lähde: will.com