Si vous regardez la configuration de n'importe quel pare-feu, nous verrons très probablement une feuille avec un tas d'adresses IP, de ports, de protocoles et de sous-réseaux. C’est ainsi que sont classiquement mises en œuvre les politiques de sécurité réseau pour l’accès des utilisateurs aux ressources. Au début, ils essaient de maintenir l'ordre dans la configuration, mais ensuite les employés commencent à se déplacer de service en service, les serveurs se multiplient et changent de rôle, l'accès à différents projets apparaît là où ils ne sont généralement pas autorisés et des centaines de chemins de chèvre inconnus apparaissent.
À côté de certaines règles, si vous avez de la chance, il y a des commentaires « Vasya m'a demandé de faire ça » ou « Ceci est un passage vers la DMZ ». L'administrateur réseau se ferme et tout devient complètement flou. Ensuite, quelqu'un a décidé d'effacer la configuration de Vasya, et SAP s'est écrasé, car Vasya a déjà demandé cet accès pour exécuter le SAP de combat.
Aujourd'hui, je vais parler de la solution VMware NSX, qui permet d'appliquer avec précision les politiques de communication et de sécurité réseau sans confusion dans les configurations de pare-feu. Je vais vous montrer quelles nouvelles fonctionnalités sont apparues par rapport à ce que VMware avait auparavant dans cette partie.
VMWare NSX est une plateforme de virtualisation et de sécurité pour les services réseau. NSX résout les problèmes de routage, de commutation, d’équilibrage de charge, de pare-feu et peut faire bien d’autres choses intéressantes.
NSX est le successeur du produit vCloud Networking and Security (vCNS) de VMware et du Nicira NVP acquis.
De vCNS à NSX
Auparavant, un client disposait d'une machine virtuelle vCNS vShield Edge distincte dans un cloud construit sur VMware vCloud. Il agissait comme une passerelle frontalière, où il était possible de configurer de nombreuses fonctions réseau : NAT, DHCP, pare-feu, VPN, équilibreur de charge, etc. vShield Edge limitait l'interaction de la machine virtuelle avec le monde extérieur selon les règles spécifiées dans le Pare-feu et NAT. Au sein du réseau, les machines virtuelles communiquaient librement entre elles au sein de sous-réseaux. Si vous souhaitez vraiment diviser et conquérir le trafic, vous pouvez créer un réseau séparé pour des parties individuelles d'applications (différentes machines virtuelles) et définir les règles appropriées pour leur interaction réseau dans le pare-feu. Mais cela est long, difficile et sans intérêt, surtout quand on dispose de plusieurs dizaines de machines virtuelles.
Dans NSX, VMware a implémenté le concept de micro-segmentation à l'aide d'un pare-feu distribué intégré au noyau de l'hyperviseur. Il spécifie les politiques de sécurité et d'interaction réseau non seulement pour les adresses IP et MAC, mais également pour d'autres objets : machines virtuelles, applications. Si NSX est déployé au sein d'une organisation, ces objets peuvent être un utilisateur ou un groupe d'utilisateurs d'Active Directory. Chacun de ces objets se transforme en un microsegment dans sa propre boucle de sécurité, dans le sous-réseau requis, avec sa propre DMZ confortable :).
Auparavant, il n'existait qu'un seul périmètre de sécurité pour l'ensemble du pool de ressources, protégé par un commutateur périphérique, mais avec NSX, vous pouvez protéger une machine virtuelle distincte des interactions inutiles, même au sein du même réseau.
Les politiques de sécurité et de mise en réseau s'adaptent si une entité migre vers un autre réseau. Par exemple, si nous déplaçons une machine avec une base de données vers un autre segment de réseau ou même vers un autre centre de données virtuel connecté, alors les règles écrites pour cette machine virtuelle continueront de s'appliquer quel que soit son nouvel emplacement. Le serveur d'applications pourra toujours communiquer avec la base de données.
La passerelle Edge elle-même, vCNS vShield Edge, a été remplacée par NSX Edge. Il possède toutes les fonctionnalités gentleman de l’ancien Edge, ainsi que quelques nouvelles fonctionnalités utiles. Nous en reparlerons plus loin.
Quoi de neuf avec le NSX Edge ?
La fonctionnalité de NSX Edge dépend de
Pare-feu. Vous pouvez sélectionner des adresses IP, des réseaux, des interfaces de passerelle et des machines virtuelles comme objets auxquels les règles seront appliquées.
DHCP. En plus de configurer la plage d'adresses IP qui seront automatiquement attribuées aux machines virtuelles sur ce réseau, NSX Edge dispose désormais des fonctions suivantes : Fixations и Relais.
Dans l'onglet fixations Vous pouvez lier l'adresse MAC d'une machine virtuelle à une adresse IP si vous souhaitez que l'adresse IP ne change pas. L'essentiel est que cette adresse IP ne soit pas incluse dans le pool DHCP.
Dans l'onglet Relais le relais des messages DHCP est configuré vers les serveurs DHCP situés en dehors de votre organisation dans vCloud Director, y compris les serveurs DHCP de l'infrastructure physique.
Routage. vShield Edge ne pouvait configurer que le routage statique. Le routage dynamique avec prise en charge des protocoles OSPF et BGP est apparu ici. Les paramètres ECMP (Active-active) sont également devenus disponibles, ce qui signifie un basculement actif-actif vers les routeurs physiques.
Configuration d'OSPF
Configuration de BGP
Une autre nouveauté est la mise en place du transfert de routes entre différents protocoles,
redistribution des itinéraires.
Équilibreur de charge L4/L7. X-Forwarded-For a été introduit pour l'en-tête HTTP. Tout le monde pleurait sans lui. Par exemple, vous avez un site Web que vous équilibrez. Sans transmettre cet en-tête, tout fonctionne, mais dans les statistiques du serveur Web, vous n'avez pas vu l'IP des visiteurs, mais l'IP de l'équilibreur. Maintenant, tout va bien.
Également dans l'onglet Règles d'application, vous pouvez désormais ajouter des scripts qui contrôleront directement l'équilibrage du trafic.
VPN. En plus du VPN IPSec, NSX Edge prend en charge :
- VPN L2, qui vous permet d'étendre les réseaux entre des sites géographiquement dispersés. Un tel VPN est nécessaire, par exemple, pour que lors d'un déplacement vers un autre site, la machine virtuelle reste dans le même sous-réseau et conserve son adresse IP.
- SSL VPN Plus, qui permet aux utilisateurs de se connecter à distance à un réseau d'entreprise. Au niveau vSphere, une telle fonction existait, mais pour vCloud Director, c'est une innovation.
Certificats SSL. Les certificats peuvent désormais être installés sur NSX Edge. Cela revient à nouveau à la question de savoir qui avait besoin d'un équilibreur sans certificat pour https.
Regroupement d'objets. Dans cet onglet, sont spécifiés des groupes d'objets pour lesquels certaines règles d'interaction réseau s'appliqueront, par exemple des règles de pare-feu.
Ces objets peuvent être des adresses IP et MAC.
Il existe également une liste de services (combinaison protocole-port) et d'applications pouvant être utilisés lors de la création de règles de pare-feu. Seul l'administrateur du portail vCD peut ajouter de nouveaux services et applications.
Des statistiques Statistiques de connexion : trafic qui transite par la passerelle, le pare-feu et l'équilibreur.
Statut et statistiques pour chaque tunnel VPN IPSEC et VPN L2.
Enregistrement. Dans l'onglet Paramètres Edge, vous pouvez définir le serveur pour l'enregistrement des journaux. La journalisation fonctionne pour DNAT/SNAT, DHCP, pare-feu, routage, équilibreur, VPN IPsec, SSL VPN Plus.
Les types d'alertes suivants sont disponibles pour chaque objet/service :
-Déboguer
-Alerte
-Critique
- Erreur
-Avertissement
- Avis
- Info
Dimensions de NSX Edge
En fonction des tâches à résoudre et du volume de VMware
NSX Bord
(Compact)
NSX Bord
(Grand)
NSX Bord
(Quad-grand)
NSX Bord
(XL)
Processeur virtuel
1
2
4
6
Mémoire
512MB
1GB
1GB
8GB
Disque
512MB
512MB
512MB
4.5GB + 4GB
rendez-vous
Un
application, essai
centre de données
Petit
ou moyenne
centre de données
Chargé
pare-feu
Équilibrage
charges au niveau L7
Le tableau ci-dessous présente les métriques de fonctionnement des services réseau en fonction de la taille de NSX Edge.
NSX Bord
(Compact)
NSX Bord
(Grand)
NSX Bord
(Quad-grand)
NSX Bord
(XL)
Interfaces
10
10
10
10
Sous-interfaces (tronc)
200
200
200
200
Règles NAT
2,048
4,096
4,096
8,192
Entrées ARP
Jusqu'à l'écrasement
1,024
2,048
2,048
2,048
Règles du micrologiciel
2000
2000
2000
2000
Performances du micrologiciel
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Pools DHCP
20,000
20,000
20,000
20,000
Chemins ECMP
8
8
8
8
Routes statiques
2,048
2,048
2,048
2,048
Piscines LB
64
64
64
1,024
Serveurs virtuels LB
64
64
64
1,024
Serveur/pool LB
32
32
32
32
Bilans de santé LB
320
320
320
3,072
Règles d'application LB
4,096
4,096
4,096
4,096
Clients L2VPN Hub à Spoke
5
5
5
5
Réseaux L2VPN par client/serveur
200
200
200
200
Tunnels IPSec
512
1,600
4,096
6,000
Tunnels VPN SSL
50
100
100
1,000
Réseaux privés SSLVPN
16
16
16
16
Sessions simultanées
64,000
1,000,000
1,000,000
1,000,000
Séances/seconde
8,000
50,000
50,000
50,000
Débit LB Proxy L7)
2.2Gbps
2.2Gbps
3Gbps
Mode L4 de débit LB)
6Gbps
6Gbps
6Gbps
Connexions LB/s (proxy L7)
46,000
50,000
50,000
Connexions simultanées LB (proxy L7)
8,000
60,000
60,000
Connexions LB/s (mode L4)
50,000
50,000
50,000
Connexions simultanées LB (mode L4)
600,000
1,000,000
1,000,000
Routes BGP
20,000
50,000
250,000
250,000
Voisins BGP
10
20
100
100
Routes BGP redistribuées
No Limit
No Limit
No Limit
No Limit
Itinéraires OSPF
20,000
50,000
100,000
100,000
Entrées OSPF LSA Max 750 Type-1
20,000
50,000
100,000
100,000
Adjacences OSPF
10
20
40
40
Routes OSPF redistribuées
2000
5000
20,000
20,000
Total des itinéraires
20,000
50,000
250,000
250,000
→
Le tableau montre qu'il est recommandé d'organiser l'équilibrage sur NSX Edge pour les scénarios productifs uniquement à partir de la grande taille.
C'est tout ce que j'ai pour aujourd'hui. Dans les parties suivantes, j'expliquerai en détail comment configurer chaque service réseau NSX Edge.
Source: habr.com