Se miras a configuración de calquera firewall, o máis probable é que vexamos unha folla cunha morea de enderezos IP, portos, protocolos e subredes. Así é como se implementan clásicamente as políticas de seguridade da rede para o acceso dos usuarios aos recursos. Nun primeiro momento tentan manter a orde na configuración, pero despois os empregados comezan a moverse de departamento en departamento, os servidores multiplícanse e cambian de función, aparece o acceso a diferentes proxectos onde normalmente non están permitidos e xorden centos de camiños descoñecidos.
Xunto a algunhas regras, se tes sorte, hai comentarios "Vasya pediume que fixera isto" ou "Este é un paso á DMZ". O administrador de rede sae e todo queda completamente pouco claro. Entón alguén decidiu borrar a configuración de Vasya e SAP fallou, porque Vasya pediu unha vez este acceso para executar o SAP de combate.
Hoxe falarei da solución VMware NSX, que axuda a aplicar con precisión as políticas de seguridade e comunicación de rede sen confusións nas configuracións do firewall. Vouche mostrar cales son as novas funcións que apareceron en comparación co que VMware tiña anteriormente nesta parte.
VMWare NSX é unha plataforma de virtualización e seguridade para servizos de rede. NSX resolve problemas de enrutamento, conmutación, balance de carga, firewall e pode facer moitas outras cousas interesantes.
NSX é o sucesor do propio produto vCloud Networking and Security (vCNS) de VMware e do Nicira NVP adquirido.
De vCNS a NSX
Anteriormente, un cliente tiña unha máquina virtual vCNS vShield Edge separada nunha nube construída en VMware vCloud. Actuaba como pasarela de fronteira, onde era posible configurar moitas funcións de rede: NAT, DHCP, Firewall, VPN, equilibrador de carga, etc. vShield Edge limitaba a interacción da máquina virtual co mundo exterior segundo as regras especificadas no Firewall e NAT. Dentro da rede, as máquinas virtuais comunicáronse entre si libremente dentro das subredes. Se realmente queres dividir e conquistar o tráfico, podes crear unha rede separada para partes individuais das aplicacións (diferentes máquinas virtuais) e establecer as regras adecuadas para a súa interacción na rede no firewall. Pero isto é longo, difícil e pouco interesante, especialmente cando tes varias ducias de máquinas virtuais.
En NSX, VMware implementou o concepto de microsegmentación mediante un firewall distribuído integrado no núcleo do hipervisor. Especifica políticas de seguridade e interacción de rede non só para enderezos IP e MAC, senón tamén para outros obxectos: máquinas virtuais, aplicacións. Se NSX está implantado nunha organización, estes obxectos poden ser un usuario ou un grupo de usuarios de Active Directory. Cada un destes obxectos convértese nun microsegmento no seu propio bucle de seguridade, na subrede requirida, coa súa propia DMZ acolledora :).
Anteriormente, só había un perímetro de seguridade para todo o conxunto de recursos, protexido por un interruptor de borde, pero con NSX pode protexer unha máquina virtual separada de interaccións innecesarias, incluso dentro da mesma rede.
As políticas de seguridade e de rede adáptanse se unha entidade se traslada a unha rede diferente. Por exemplo, se movemos unha máquina cunha base de datos a outro segmento de rede ou mesmo a outro centro de datos virtual conectado, as regras escritas para esta máquina virtual seguirán aplicándose independentemente da súa nova localización. O servidor de aplicacións aínda poderá comunicarse coa base de datos.
A propia pasarela edge, vCNS vShield Edge, foi substituída por NSX Edge. Ten todas as características de cabaleiro do antigo Edge, ademais de algunhas funcións útiles novas. Delas falaremos máis adiante.
Que hai de novo co NSX Edge?
A funcionalidade de NSX Edge depende de
Devasa. Pode seleccionar enderezos IP, redes, interfaces de pasarela e máquinas virtuais como obxectos aos que se aplicarán as regras.
DHCP. Ademais de configurar o rango de enderezos IP que se emitirán automaticamente ás máquinas virtuais desta rede, NSX Edge agora ten as seguintes funcións: Conexión и relé.
Na pestana Encadernacións Pode vincular o enderezo MAC dunha máquina virtual a un enderezo IP se precisa que o enderezo IP non se modifique. O principal é que este enderezo IP non está incluído no grupo DHCP.
Na pestana relé a retransmisión de mensaxes DHCP está configurada para servidores DHCP que se atopan fóra da súa organización en vCloud Director, incluídos os servidores DHCP da infraestrutura física.
Enrutamento. vShield Edge só puido configurar o enrutamento estático. O enrutamento dinámico con soporte para os protocolos OSPF e BGP apareceu aquí. A configuración ECMP (Activo-activo) tamén está dispoñible, o que significa unha conmutación por fallo activo-activo para enrutadores físicos.
Configurando OSPF
Configurando BGP
Outra novidade é configurar a transferencia de rutas entre diferentes protocolos,
redistribución de rutas.
Balanceador de carga L4/L7. X-Forwarded-For foi introducido para a cabeceira HTTPs. Todo o mundo choraba sen el. Por exemplo, tes un sitio web que estás equilibrando. Sen reenviar esta cabeceira, todo funciona, pero nas estatísticas do servidor web non viches a IP dos visitantes, senón a IP do equilibrador. Agora todo está ben.
Tamén na pestana Regras de aplicación agora pode engadir scripts que controlarán directamente o equilibrio do tráfico.
vpn. Ademais de VPN IPSec, NSX Edge admite:
- VPN L2, que che permite estirar redes entre sitios dispersos xeograficamente. Necesítase unha VPN deste tipo, por exemplo, para que ao moverse a outro sitio, a máquina virtual permaneza na mesma subrede e manteña o seu enderezo IP.
- SSL VPN Plus, que permite aos usuarios conectarse de forma remota a unha rede corporativa. A nivel de vSphere había tal función, pero para vCloud Director esta é unha innovación.
Certificados SSL. Os certificados agora pódense instalar no NSX Edge. Isto vén de novo á cuestión de quen necesitaba un equilibrador sen certificado para https.
Agrupación de obxectos. Nesta pestana, especifícanse grupos de obxectos para os que se aplicarán determinadas regras de interacción de rede, por exemplo, regras de firewall.
Estes obxectos poden ser enderezos IP e MAC.
Tamén hai unha lista de servizos (combinación protocolo-porto) e aplicacións que se poden usar ao crear regras de firewall. Só o administrador do portal vCD pode engadir novos servizos e aplicacións.
Estatísticas. Estatísticas de conexión: tráfico que pasa pola pasarela, o firewall e o equilibrador.
Estado e estatísticas de cada túnel VPN IPSEC e VPN L2.
Rexistro. Na pestana Configuración de Edge, pode configurar o servidor para gravar rexistros. O rexistro funciona para DNAT/SNAT, DHCP, Firewall, enrutamento, equilibrador, IPsec VPN, SSL VPN Plus.
Os seguintes tipos de alertas están dispoñibles para cada obxecto/servizo:
-Depurar
—Alerta
-Crítico
- Erro
-Aviso
— Aviso
- Información
Dimensións do NSX Edge
Dependendo das tarefas que se resolvan e do volume de VMware
NSX Edge
(Compacto)
NSX Edge
(Grande)
NSX Edge
(Cuádruple grande)
NSX Edge
(X-grande)
vCPU
1
2
4
6
memoria
512MB
1GB
1GB
8GB
Disco
512MB
512MB
512MB
4.5GB + 4GB
Nomeamento
Un
aplicación, proba
centro de datos
Pequeno
ou media
centro de datos
Cargado
cortalumes
Equilibrio
cargas no nivel L7
Abaixo na táboa están as métricas de funcionamento dos servizos de rede dependendo do tamaño de NSX Edge.
NSX Edge
(Compacto)
NSX Edge
(Grande)
NSX Edge
(Cuádruple grande)
NSX Edge
(X-grande)
Interfaces
10
10
10
10
Subinterfaces (tronco)
200
200
200
200
Regras NAT
2,048
4,096
4,096
8,192
Entradas ARP
Ata sobrescribir
1,024
2,048
2,048
2,048
Regras FW
2000
2000
2000
2000
Rendemento FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Grupos DHCP
20,000
20,000
20,000
20,000
Camiños ECMP
8
8
8
8
Rutas estáticas
2,048
2,048
2,048
2,048
Piscinas LB
64
64
64
1,024
Servidores virtuais LB
64
64
64
1,024
Servidor/Pool LB
32
32
32
32
Comprobacións de saúde LB
320
320
320
3,072
Normas de aplicación de LB
4,096
4,096
4,096
4,096
L2VPN Clients Hub to Spoke
5
5
5
5
Redes L2VPN por cliente/servidor
200
200
200
200
Túneles IPSec
512
1,600
4,096
6,000
Túneles SSLVPN
50
100
100
1,000
Redes privadas SSLVPN
16
16
16
16
Sesións simultáneas
64,000
1,000,000
1,000,000
1,000,000
Sesións/Segundo
8,000
50,000
50,000
50,000
Proxy LB Throughput L7)
2.2Gbps
2.2Gbps
3Gbps
Rendimento LB Modo L4)
6Gbps
6Gbps
6Gbps
Conexións LB (proxy L7)
46,000
50,000
50,000
Conexións simultáneas LB (proxy L7)
8,000
60,000
60,000
Conexións LB/s (modo L4)
50,000
50,000
50,000
Conexións simultáneas LB (modo L4)
600,000
1,000,000
1,000,000
Rutas BGP
20,000
50,000
250,000
250,000
Veciños BGP
10
20
100
100
Rutas BGP redistribuídas
no Limit
no Limit
no Limit
no Limit
Rutas OSPF
20,000
50,000
100,000
100,000
Entradas OSPF LSA Máx. 750 Tipo-1
20,000
50,000
100,000
100,000
Adxacencias OSPF
10
20
40
40
Rutas OSPF redistribuídas
2000
5000
20,000
20,000
Total de rutas
20,000
50,000
250,000
250,000
→
A táboa mostra que se recomenda organizar o equilibrio en NSX Edge para escenarios produtivos só a partir do tamaño grande.
Iso é todo o que teño para hoxe. Nas seguintes partes explicarei en detalle como configurar cada servizo de rede NSX Edge.
Fonte: www.habr.com