As jo nei de konfiguraasje fan elke firewall sjogge, dan sille wy wierskynlik in blêd sjen mei in boskje IP-adressen, havens, protokollen en subnets. Dit is hoe't netwurkfeiligensbelied klassyk wurdt ymplementearre foar brûkers tagong ta boarnen. Earst besykje se de oarder yn 'e konfiguraasje te behâlden, mar dan begjinne meiwurkers fan ôfdieling nei ôfdieling te ferpleatsen, servers fermannichfâldigje en feroarje har rollen, tagong foar ferskate projekten ferskynt wêr't se normaal net kinne, en hûnderten ûnbekende geitenpaden wurde krigen.
Tichtby guon regels, as jo gelok binne, wurde de opmerkingen "Ik frege Vasya om it te dwaan" of "Dit is in passaazje nei de DMZ" skreaun. De netwurkbehearder hâldt op, en alles wurdt folslein ûnbegryplik. Doe besleat ien om Vasya's konfiguraasje skjin te meitsjen, en SAP ferûngelokke, om't Vasya ienris frege om dizze tagong om te wurkjen mei bestriding fan SAP.
Hjoed sil ik prate oer de VMware NSX-oplossing, dy't helpt om punt-tot-punt netwurkkommunikaasje- en feiligensbelied oan te passen sûnder betizing yn firewall-konfiguraasjes. Ik sil jo sjen litte hokker nije funksjes binne ferskynd yn ferliking mei wat VMware eartiids hie yn dit diel.
VMWare NSX is in feiligensplatfoarm foar virtualisaasje en netwurktsjinsten. NSX lost de problemen op fan routing, switching, load balancing, firewall en in protte oare nijsgjirrige dingen.
NSX is de opfolger fan VMware's eigen vCloud Networking and Security (vCNS) produkt en oankocht troch Nicira NVP.
Fan vCNS nei NSX
Earder hie in klant yn in wolk boud op VMware vCloud in aparte vCNS vShield Edge firtuele masine. It fungearre as in râne poarte, dêr't jo koenen konfigurearje in protte netwurk funksjes: NAT, DHCP, Firewall, VPN, load balancer, ensfh vShield Edge beheinde de ynteraksje fan de firtuele masine mei de bûtenwrâld neffens de regels spesifisearre yn de Firewall en NAT. Binnen it netwurk kommunisearren firtuele masines frij ûnderinoar binnen subnets. As jo it ferkear echt wolle ferdielen en dominearje, kinne jo in apart netwurk meitsje foar yndividuele dielen fan applikaasjes (ferskillende firtuele masines) en de passende regels foar har netwurkynteraksje yn 'e firewall foarskriuwe. Mar dit is lang, yngewikkeld en net ynteressant, foaral as jo ferskate tsientallen firtuele masines hawwe.
Yn NSX ymplementearre VMware it konsept fan mikro-segmentaasje mei in ferdielde brânmuorre ynboud yn 'e hypervisorkearn. It skriuwt feiligens- en netwurkynteraksjebelied foar net allinich foar IP- en MAC-adressen foar, mar ek foar oare objekten: firtuele masines, applikaasjes. As NSX wurdt ynset binnen in organisaasje, dan kin in brûker of groep brûkers fan Active Directory sokke objekten wurde. Elk sa'n objekt feroaret yn in mikrosegment yn in eigen feiligensloop, yn it juste subnet, mei in eigen gesellige DMZ :).
Earder wie der mar ien feiligens perimeter foar de hiele boarne pool, it waard beskerme troch in râne switch, en mei NSX, kinne jo beskermje in aparte firtuele masine út ûnnedige ynteraksjes sels binnen itselde netwurk.
Feiligens- en netwurkbelied oanpasse as in objekt nei in oar netwurk ferpleatst. As wy bygelyks de masine mei de databank ferpleatse nei in oar netwurksegment of sels nei in oar assosjearre firtuele datasintrum, dan sille de regels foarskreaun foar dizze firtuele masine trochgean te operearjen nettsjinsteande syn nije lokaasje. De applikaasje-tsjinner sil noch kinne kommunisearje mei de databank.
De vCNS vShield Edge sels is ferfongen troch NSX Edge. It hat al it guod fan 'e hearen fan' e âlde Edge plus in pear koele nije funksjes. Oer harren en sil wurde besprutsen fierder.
Wat is nij mei NSX Edge?
NSX Edge funksjonaliteit hinget ôf fan NSX. D'r binne fiif fan har: Standert, Profesjoneel, Avansearre, Enterprise, Plus Remote Branch Office. Alles nij en ynteressant kin allinich sjoen wurde begjinnend mei Avansearre. Ynklusyf de nije ynterface, dy't iepenet yn in nije ljepper oant de folsleine oergong fan vCloud nei HTML5 (VMware belooft de simmer fan 2019).
brânmuorre. Jo kinne IP-adressen, netwurken, gateway-ynterfaces en firtuele masines selektearje as objekten wêrop de regels fan tapassing binne.
DHCP. Neist it konfigurearjen fan it berik fan IP-adressen dy't automatysk sille wurde útjûn oan firtuele masines op dit netwurk, is NSX Edge beskikbere funksjes wurden binding и Relay.
Yn de ljepper Bindingen jo kinne it MAC-adres fan 'e firtuele masine bine oan it IP-adres as jo wolle dat it IP-adres net feroaret. It wichtichste is dat dit IP-adres net opnommen is yn 'e DHCP-pool.
Yn de ljepper Relay konfigurearret it trochjaan fan DHCP-berjochten nei DHCP-tsjinners dy't bûten jo organisaasje binne yn vCloud Director, ynklusyf DHCP-tsjinners fan 'e fysike ynfrastruktuer.
Routing. vShield Edge koe allinnich wurde konfigurearre mei statyske routing. Dynamyske routing ferskynde hjir mei stipe foar OSPF- en BGP-protokollen. ECMP (Active-active) ynstellings binne ek beskikber wurden, wat betsjut aktyf-aktive failover nei fysike routers.
OSPF konfigurearje
BGP konfigurearje
In oar nij ding is it ynstellen fan de oerdracht fan rûtes tusken ferskate protokollen,
rûte werferdieling.
L4 / L7 Load balancer. Yntrodusearre X-Forwarded-For foar de HTTPs-header. Sûnder him gûlde elkenien. Jo hawwe bygelyks in webside dy't jo balansearje. Sûnder dizze koptekst troch te stjoeren, wurket alles, mar yn 'e statistiken fan' e webserver sjogge jo net de IP fan 'e besikers, mar de IP fan' e balancer. No is alles goed.
Ek yn 'e ljepper Applikaasjeregels kinne jo no skripts tafoegje dy't ferkearsbalansearring direkt sille kontrolearje.
vpn. Neist IPSec VPN stipet NSX Edge:
- L2 VPN, wêrtroch jo netwurken kinne strekke tusken geografysk ferspraat siden. Sa'n VPN is bygelyks nedich, sadat by it ferpleatsen nei in oare side de firtuele masine op itselde subnet bliuwt en har IP-adres behâldt.
- SSL VPN Plus, wêrtroch brûkers op ôfstân kinne ferbine mei in bedriuwsnetwurk. D'r wie sa'n funksje op it vSphere-nivo, mar foar vCloud Director is dit in ynnovaasje.
SSL-sertifikaten. Sertifikaten kinne no wurde ynstalleare op NSX Edge. Dit is wer oan 'e fraach wa't in balancer nedich hie sûnder in sertifikaat foar https.
Groepearje objekten. Dizze ljepper stelt gewoan de groepen fan objekten yn wêrfoar bepaalde regels foar netwurkynteraksje jilde, bygelyks firewall-regels.
Dizze objekten kinne IP- en MAC-adressen wêze.
It befettet ek in list mei tsjinsten (protokol-poarte-kombinaasje) en applikaasjes dy't brûkt wurde kinne by it kompilearjen fan firewallregels. Allinich de behearder fan it vCD-portaal kin nije tsjinsten en applikaasjes tafoegje.
Statistyk. Ferbiningsstatistiken: ferkear dat troch de poarte, firewall en loadbalancer giet.
Status en statistiken foar elke IPSEC VPN en L2 VPN-tunnel.
Logging. Yn it ljepblêd Edge Settings kinne jo de tsjinner ynstelle foar it opnimmen fan logs. Logging wurket foar DNAT / SNAT, DHCP, Firewall, Routing, Balancer, IPsec VPN, SSL VPN Plus.
De folgjende soarten warskôgings binne beskikber foar elk objekt/tsjinst:
- Debug
- Alarmearje
- Kritysk
- flater
-Warskôging
— Notysje
-ynfo
NSX Edge Ofmjittings
Ofhinklik fan de te lossen taken en folumes fan VMware meitsje NSX Edge yn 'e folgjende maten:
NSX Edge
(Kompakt)
NSX Edge
(Grut)
NSX Edge
(quad-grut)
NSX Edge
(X-Large)
vCPU
1
2
4
6
Oantinken
512MB
1GB
1GB
8GB
skiif
512MB
512MB
512MB
4.5GB + 4GB
Oanstelling
Ien
applikaasje, test
datasintrum
Lyts
of medium
datasintrum
Loaded
brânmuorre
Balânsearje
loads op nivo L7
De tabel hjirûnder toant de metriken foar prestaasjes fan netwurktsjinsten basearre op de grutte fan 'e NSX Edge.
NSX Edge
(Kompakt)
NSX Edge
(Grut)
NSX Edge
(quad-grut)
NSX Edge
(X-Large)
Interfaces
10
10
10
10
Sub-ynterfaces (trunk)
200
200
200
200
NAT-regels
2,048
4,096
4,096
8,192
ARP Entries
oant oerskriuwe
1,024
2,048
2,048
2,048
FW Regels
2000
2000
2000
2000
F.W. Prestaasje
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP Pools
20,000
20,000
20,000
20,000
ECMP Paden
8
8
8
8
Statyske rûtes
2,048
2,048
2,048
2,048
LB Pools
64
64
64
1,024
LB Virtual Servers
64
64
64
1,024
LB Server / Pool
32
32
32
32
LB Health Checks
320
320
320
3,072
LB Applikaasje regels
4,096
4,096
4,096
4,096
L2VPN Clients Hub om te praten
5
5
5
5
L2VPN-netwurken per kliïnt / tsjinner
200
200
200
200
IPSec-tunnels
512
1,600
4,096
6,000
SSL VPN Tunnels
50
100
100
1,000
SSLVPN privee netwurken
16
16
16
16
Konkurrente sesjes
64,000
1,000,000
1,000,000
1,000,000
Sesjes / twadde
8,000
50,000
50,000
50,000
LB Trochfier L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB Trochfier L4 Mode)
6Gbps
6Gbps
6Gbps
LB Connections/s (L7 Proxy)
46,000
50,000
50,000
LB Concurrent Connections (L7 Proxy)
8,000
60,000
60,000
LB Connections/s (L4 Mode)
50,000
50,000
50,000
LB Concurrent Connections (L4 Mode)
600,000
1,000,000
1,000,000
BGP Routes
20,000
50,000
250,000
250,000
BGP Buorlju
10
20
100
100
BGP Routes Redistributed
Gjin limyt
Gjin limyt
Gjin limyt
Gjin limyt
OSPF Rûtes
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF Adjacencies
10
20
40
40
OSPF Routes Redistributed
2000
5000
20,000
20,000
Totaal Rûtes
20,000
50,000
250,000
250,000
→
De tabel lit sjen dat it wurdt oanrikkemandearre om balansearjen op NSX Edge te organisearjen foar produktive senario's allinich begjinnend fan 'e Grutte grutte.
Foar hjoed haw ik alles. Yn 'e folgjende dielen gean ik troch de konfiguraasje fan elke NSX Edge-netwurktsjinst yn detail.
Boarne: www.habr.com