VMware NSX pour les plus petits. Partie 1

Si vous regardez la configuration de n'importe quel pare-feu, nous verrons très probablement une feuille avec un tas d'adresses IP, de ports, de protocoles et de sous-réseaux. C’est ainsi que sont classiquement mises en œuvre les politiques de sécurité réseau pour l’accès des utilisateurs aux ressources. Au début, ils essaient de maintenir l'ordre dans la configuration, mais ensuite les employés commencent à se déplacer de service en service, les serveurs se multiplient et changent de rôle, l'accès à différents projets apparaît là où ils ne sont généralement pas autorisés et des centaines de chemins de chèvre inconnus apparaissent.

À côté de certaines règles, si vous avez de la chance, il y a des commentaires « Vasya m'a demandé de faire ça » ou « Ceci est un passage vers la DMZ ». L'administrateur réseau se ferme et tout devient complètement flou. Ensuite, quelqu'un a décidé d'effacer la configuration de Vasya, et SAP s'est écrasé, car Vasya a déjà demandé cet accès pour exécuter le SAP de combat.

Aujourd'hui, je vais parler de la solution VMware NSX, qui permet d'appliquer avec précision les politiques de communication et de sécurité réseau sans confusion dans les configurations de pare-feu. Je vais vous montrer quelles nouvelles fonctionnalités sont apparues par rapport à ce que VMware avait auparavant dans cette partie.

VMWare NSX est une plateforme de virtualisation et de sécurité pour les services réseau. NSX résout les problèmes de routage, de commutation, d’équilibrage de charge, de pare-feu et peut faire bien d’autres choses intéressantes.

NSX est le successeur du produit vCloud Networking and Security (vCNS) de VMware et du Nicira NVP acquis.

De vCNS à NSX

Auparavant, un client disposait d'une machine virtuelle vCNS vShield Edge distincte dans un cloud construit sur VMware vCloud. Il agissait comme une passerelle frontalière, où il était possible de configurer de nombreuses fonctions réseau : NAT, DHCP, pare-feu, VPN, équilibreur de charge, etc. vShield Edge limitait l'interaction de la machine virtuelle avec le monde extérieur selon les règles spécifiées dans le Pare-feu et NAT. Au sein du réseau, les machines virtuelles communiquaient librement entre elles au sein de sous-réseaux. Si vous souhaitez vraiment diviser et conquérir le trafic, vous pouvez créer un réseau séparé pour des parties individuelles d'applications (différentes machines virtuelles) et définir les règles appropriées pour leur interaction réseau dans le pare-feu. Mais cela est long, difficile et sans intérêt, surtout quand on dispose de plusieurs dizaines de machines virtuelles.

Dans NSX, VMware a implémenté le concept de micro-segmentation à l'aide d'un pare-feu distribué intégré au noyau de l'hyperviseur. Il spécifie les politiques de sécurité et d'interaction réseau non seulement pour les adresses IP et MAC, mais également pour d'autres objets : machines virtuelles, applications. Si NSX est déployé au sein d'une organisation, ces objets peuvent être un utilisateur ou un groupe d'utilisateurs d'Active Directory. Chacun de ces objets se transforme en un microsegment dans sa propre boucle de sécurité, dans le sous-réseau requis, avec sa propre DMZ confortable :).

Auparavant, il n'existait qu'un seul périmètre de sécurité pour l'ensemble du pool de ressources, protégé par un commutateur périphérique, mais avec NSX, vous pouvez protéger une machine virtuelle distincte des interactions inutiles, même au sein du même réseau.

Les politiques de sécurité et de mise en réseau s'adaptent si une entité migre vers un autre réseau. Par exemple, si nous déplaçons une machine avec une base de données vers un autre segment de réseau ou même vers un autre centre de données virtuel connecté, alors les règles écrites pour cette machine virtuelle continueront de s'appliquer quel que soit son nouvel emplacement. Le serveur d'applications pourra toujours communiquer avec la base de données.

La passerelle Edge elle-même, vCNS vShield Edge, a été remplacée par NSX Edge. Il possède toutes les fonctionnalités gentleman de l’ancien Edge, ainsi que quelques nouvelles fonctionnalités utiles. Nous en reparlerons plus loin.

Quoi de neuf avec le NSX Edge ?

La fonctionnalité de NSX Edge dépend de édition NSX. Il y en a cinq : Standard, Professionnel, Avancé, Entreprise et Succursale distante. Tout ce qui est nouveau et intéressant ne peut être vu qu'à partir de Advanced. Y compris une nouvelle interface qui, jusqu'à ce que vCloud passe complètement au HTML5 (VMware promet l'été 2019), s'ouvre dans un nouvel onglet.

Pare-feu. Vous pouvez sélectionner des adresses IP, des réseaux, des interfaces de passerelle et des machines virtuelles comme objets auxquels les règles seront appliquées.

DHCP. En plus de configurer la plage d'adresses IP qui seront automatiquement attribuées aux machines virtuelles sur ce réseau, NSX Edge dispose désormais des fonctions suivantes : Fixations и Relais.

Dans l'onglet fixations Vous pouvez lier l'adresse MAC d'une machine virtuelle à une adresse IP si vous souhaitez que l'adresse IP ne change pas. L'essentiel est que cette adresse IP ne soit pas incluse dans le pool DHCP.

Dans l'onglet Relais le relais des messages DHCP est configuré vers les serveurs DHCP situés en dehors de votre organisation dans vCloud Director, y compris les serveurs DHCP de l'infrastructure physique.

Routage. vShield Edge ne pouvait configurer que le routage statique. Le routage dynamique avec prise en charge des protocoles OSPF et BGP est apparu ici. Les paramètres ECMP (Active-active) sont également devenus disponibles, ce qui signifie un basculement actif-actif vers les routeurs physiques.

Configuration d'OSPF

Configuration de BGP

Une autre nouveauté est la mise en place du transfert de routes entre différents protocoles,
redistribution des itinéraires.

Équilibreur de charge L4/L7. X-Forwarded-For a été introduit pour l'en-tête HTTP. Tout le monde pleurait sans lui. Par exemple, vous avez un site Web que vous équilibrez. Sans transmettre cet en-tête, tout fonctionne, mais dans les statistiques du serveur Web, vous n'avez pas vu l'IP des visiteurs, mais l'IP de l'équilibreur. Maintenant, tout va bien.

Également dans l'onglet Règles d'application, vous pouvez désormais ajouter des scripts qui contrôleront directement l'équilibrage du trafic.

VPN. En plus du VPN IPSec, NSX Edge prend en charge :

• VPN L2, qui vous permet d'étendre les réseaux entre des sites géographiquement dispersés. Un tel VPN est nécessaire, par exemple, pour que lors d'un déplacement vers un autre site, la machine virtuelle reste dans le même sous-réseau et conserve son adresse IP.

• SSL VPN Plus, qui permet aux utilisateurs de se connecter à distance à un réseau d'entreprise. Au niveau vSphere, une telle fonction existait, mais pour vCloud Director, c'est une innovation.

Certificats SSL. Les certificats peuvent désormais être installés sur NSX Edge. Cela revient à nouveau à la question de savoir qui avait besoin d'un équilibreur sans certificat pour https.

Regroupement d'objets. Dans cet onglet, sont spécifiés des groupes d'objets pour lesquels certaines règles d'interaction réseau s'appliqueront, par exemple des règles de pare-feu.

Ces objets peuvent être des adresses IP et MAC.

 


Il existe également une liste de services (combinaison protocole-port) et d'applications pouvant être utilisés lors de la création de règles de pare-feu. Seul l'administrateur du portail vCD peut ajouter de nouveaux services et applications.

 


Des statistiques Statistiques de connexion : trafic qui transite par la passerelle, le pare-feu et l'équilibreur.

Statut et statistiques pour chaque tunnel VPN IPSEC et VPN L2.

Enregistrement. Dans l'onglet Paramètres Edge, vous pouvez définir le serveur pour l'enregistrement des journaux. La journalisation fonctionne pour DNAT/SNAT, DHCP, pare-feu, routage, équilibreur, VPN IPsec, SSL VPN Plus.
 
Les types d'alertes suivants sont disponibles pour chaque objet/service :

-Déboguer
-Alerte
-Critique
- Erreur
-Avertissement
- Avis
- Info

Dimensions de NSX Edge

En fonction des tâches à résoudre et du volume de VMware recommande créez NSX Edge dans les tailles suivantes :

NSX Bord
(Compact)

NSX Bord
(Grand)

NSX Bord
(Quad-grand)

NSX Bord
(XL)

Processeur virtuel

1

2

4

6

Mémoire

512MB

1GB

1GB

8GB

Disque

512MB

512MB

512MB

4.5GB + 4GB

rendez-vous

Un
application, essai
centre de données

Petit
ou moyenne
centre de données

Chargé
pare-feu

Équilibrage
charges au niveau L7

Le tableau ci-dessous présente les métriques de fonctionnement des services réseau en fonction de la taille de NSX Edge.

NSX Bord
(Compact)

NSX Bord
(Grand)

NSX Bord
(Quad-grand)

NSX Bord
(XL)

Interfaces

10

10

10

10

Sous-interfaces (tronc)

200

200

200

200

Règles NAT

2,048

4,096

4,096

8,192

Entrées ARP
Jusqu'à l'écrasement

1,024

2,048

2,048

2,048

Règles du micrologiciel

2000

2000

2000

2000

Performances du micrologiciel

3Gbps

9.7Gbps

9.7Gbps

9.7Gbps

Pools DHCP

20,000

20,000

20,000

20,000

Chemins ECMP

8

8

8

8

Routes statiques

2,048

2,048

2,048

2,048

Piscines LB

64

64

64

1,024

Serveurs virtuels LB

64

64

64

1,024

Serveur/pool LB

32

32

32

32

Bilans de santé LB

320

320

320

3,072

Règles d'application LB

4,096

4,096

4,096

4,096

Clients L2VPN Hub à Spoke

5

5

5

5

Réseaux L2VPN par client/serveur

200

200

200

200

Tunnels IPSec

512

1,600

4,096

6,000

Tunnels VPN SSL

50

100

100

1,000

Réseaux privés SSLVPN

16

16

16

16

Sessions simultanées

64,000

1,000,000

1,000,000

1,000,000

Séances/seconde

8,000

50,000

50,000

50,000

Débit LB Proxy L7)

2.2Gbps

2.2Gbps

3Gbps

Mode L4 de débit LB)

6Gbps

6Gbps

6Gbps

Connexions LB/s (proxy L7)

46,000

50,000

50,000

Connexions simultanées LB (proxy L7)

8,000

60,000

60,000

Connexions LB/s (mode L4)

50,000

50,000

50,000

Connexions simultanées LB (mode L4)

600,000

1,000,000

1,000,000

Routes BGP

20,000

50,000

250,000

250,000

Voisins BGP

10

20

100

100

Routes BGP redistribuées

No Limit

No Limit

No Limit

No Limit

Itinéraires OSPF

20,000

50,000

100,000

100,000

Entrées OSPF LSA Max 750 Type-1

20,000

50,000

100,000

100,000

Adjacences OSPF

10

20

40

40

Routes OSPF redistribuées

2000

5000

20,000

20,000

Total des itinéraires

20,000

50,000

250,000

250,000

→ Source

Le tableau montre qu'il est recommandé d'organiser l'équilibrage sur NSX Edge pour les scénarios productifs uniquement à partir de la grande taille.

C'est tout ce que j'ai pour aujourd'hui. Dans les parties suivantes, j'expliquerai en détail comment configurer chaque service réseau NSX Edge.

Source: habr.com