Ako pogledate konfiguraciju bilo kojeg vatrozida, najvjerojatnije ćemo vidjeti list s hrpom IP adresa, portova, protokola i podmreža. Ovako se klasično provode mrežne sigurnosne politike za korisnički pristup resursima. Isprva pokušavaju održati red u konfiguraciji, ali onda se zaposlenici počnu seliti iz odjela u odjel, poslužitelji se množe i mijenjaju svoje uloge, pojavljuje se pristup različitim projektima tamo gdje im obično nije dopušteno, a pojavljuju se stotine nepoznatih kozjih staza.
Uz neka pravila, ako imate sreće, nalaze se komentari "Vasya me je zamolio da to učinim" ili "Ovo je prolaz u DMZ." Mrežni administrator odustaje i sve postaje potpuno nejasno. Zatim je netko odlučio izbrisati Vasyinu konfiguraciju i SAP se srušio jer je Vasya jednom tražio ovaj pristup za pokretanje borbenog SAP-a.
Danas ću govoriti o rješenju VMware NSX, koje pomaže u preciznoj primjeni mrežnih komunikacijskih i sigurnosnih pravila bez zabune u konfiguracijama vatrozida. Pokazat ću vam koje su se nove značajke pojavile u usporedbi s onim što je VMware ranije imao u ovom dijelu.
VMWare NSX je virtualizacijska i sigurnosna platforma za mrežne usluge. NSX rješava probleme usmjeravanja, komutacije, balansiranja opterećenja, vatrozida i može raditi mnoge druge zanimljive stvari.
NSX je nasljednik VMware-ovog vlastitog proizvoda vCloud Networking and Security (vCNS) i kupljenog Nicira NVP-a.
Od vCNS do NSX
Prethodno je klijent imao zasebno virtualno računalo vCNS vShield Edge u oblaku izgrađenom na VMware vCloudu. Djelovao je kao granični pristupnik, gdje je bilo moguće konfigurirati mnoge mrežne funkcije: NAT, DHCP, Vatrozid, VPN, balanser opterećenja itd. vShield Edge ograničio je interakciju virtualnog stroja s vanjskim svijetom prema pravilima navedenim u Vatrozid i NAT. Unutar mreže, virtualni strojevi međusobno su slobodno komunicirali unutar podmreža. Ako stvarno želite podijeliti i osvojiti promet, možete napraviti zasebnu mrežu za pojedine dijelove aplikacija (različite virtualne strojeve) i postaviti odgovarajuća pravila za njihovu mrežnu interakciju u vatrozidu. Ali ovo je dugo, teško i nezanimljivo, pogotovo kada imate nekoliko desetaka virtualnih strojeva.
U NSX-u, VMware je implementirao koncept mikrosegmentacije korištenjem distribuiranog vatrozida ugrađenog u jezgru hipervizora. Određuje pravila sigurnosti i mrežne interakcije ne samo za IP i MAC adrese, već i za druge objekte: virtualne strojeve, aplikacije. Ako je NSX implementiran unutar organizacije, ti objekti mogu biti korisnik ili grupa korisnika iz Active Directoryja. Svaki takav objekt pretvara se u mikrosegment u vlastitoj sigurnosnoj petlji, u potrebnoj podmreži, sa svojim ugodnim DMZ-om :).
Prije je postojao samo jedan sigurnosni perimetar za cijeli skup resursa, zaštićen rubnim prekidačem, ali uz NSX možete zaštititi zasebno virtualno računalo od nepotrebnih interakcija, čak i unutar iste mreže.
Sigurnosne i mrežne politike prilagođavaju se ako se entitet preseli na drugu mrežu. Na primjer, ako premjestimo stroj s bazom podataka u drugi mrežni segment ili čak u drugi povezani virtualni podatkovni centar, tada će se pravila napisana za ovaj virtualni stroj nastaviti primjenjivati bez obzira na njegovu novu lokaciju. Aplikacijski poslužitelj će i dalje moći komunicirati s bazom podataka.
Sam rubni pristupnik, vCNS vShield Edge, zamijenjen je NSX Edgeom. Ima sve džentlmenske značajke starog Edgea, plus nekoliko novih korisnih značajki. O njima ćemo dalje govoriti.
Što je novo s NSX Edge?
Funkcionalnost NSX Edge ovisi o
Vatrozid. Možete odabrati IP adrese, mreže, sučelja pristupnika i virtualne strojeve kao objekte na koje će se pravila primjenjivati.
DHCP. Uz konfiguriranje raspona IP adresa koje će se automatski izdavati virtualnim strojevima na ovoj mreži, NSX Edge sada ima sljedeće funkcije: Vezivanje и Relej.
U kartici vezovi Možete vezati MAC adresu virtualnog stroja na IP adresu ako ne želite da se IP adresa promijeni. Glavna stvar je da ova IP adresa nije uključena u DHCP skup.
U kartici Relej relej DHCP poruka konfiguriran je na DHCP poslužitelje koji se nalaze izvan vaše organizacije u vCloud Directoru, uključujući DHCP poslužitelje fizičke infrastrukture.
Usmjeravanje. vShield Edge može konfigurirati samo statičko usmjeravanje. Ovdje se pojavilo dinamičko usmjeravanje s podrškom za OSPF i BGP protokole. Dostupne su i ECMP (Active-active) postavke, što znači aktivno-aktivno prebacivanje na fizičke usmjerivače.
Postavljanje OSPF-a
Postavljanje BGP-a
Još jedna nova stvar je postavljanje prijenosa ruta između različitih protokola,
redistribucija rute.
L4/L7 Load Balancer. X-Forwarded-For uveden je za HTTPs zaglavlje. Svi su plakali bez njega. Na primjer, imate web stranicu koju balansirate. Bez prosljeđivanja ovog zaglavlja, sve radi, ali u statistici web poslužitelja niste vidjeli IP posjetitelja, već IP balansera. Sada je sve kako treba.
Također u kartici Pravila aplikacije sada možete dodati skripte koje će izravno kontrolirati balansiranje prometa.
vpn. Uz IPSec VPN, NSX Edge podržava:
- L2 VPN, koji vam omogućuje rastezanje mreža između geografski raspršenih stranica. Takav VPN potreban je, primjerice, kako bi virtualni stroj pri prelasku na drugo mjesto ostao u istoj podmreži i zadržao svoju IP adresu.
- SSL VPN Plus, koji korisnicima omogućuje daljinsko povezivanje na korporativnu mrežu. Na razini vSphere postojala je takva funkcija, ali za vCloud Director ovo je inovacija.
SSL certifikati. Certifikati se sada mogu instalirati na NSX Edge. Ovdje opet dolazimo do pitanja kome je trebao balanser bez certifikata za https.
Grupiranje objekata. U ovoj kartici specificirane su grupe objekata za koje će se primjenjivati određena pravila mrežne interakcije, na primjer pravila vatrozida.
Ti objekti mogu biti IP i MAC adrese.
Tu je i popis usluga (kombinacija protokol-port) i aplikacija koje se mogu koristiti prilikom kreiranja pravila vatrozida. Samo administrator vCD portala može dodavati nove usluge i aplikacije.
Statistika. Statistika veze: promet koji prolazi kroz gateway, firewall i balancer.
Status i statistika za svaki IPSEC VPN i L2 VPN tunel.
Sječa drva. Na kartici Edge Settings možete postaviti poslužitelj za snimanje dnevnika. Zapisivanje radi za DNAT/SNAT, DHCP, vatrozid, usmjeravanje, balansiranje, IPsec VPN, SSL VPN Plus.
Za svaki objekt/uslugu dostupne su sljedeće vrste upozorenja:
— Otklanjanje pogrešaka
—Uzbuna
-Kritično
- Greška
-Upozorenje
— Obavijest
— Info
Dimenzije ruba NSX
Ovisno o zadacima koji se rješavaju i obujmu VMware-a
NSX Edge
(Kompaktan)
NSX Edge
(Velika)
NSX Edge
(četverostruki veliki)
NSX Edge
(X-veliki)
vCPU
1
2
4
6
memorija
512MB
1GB
1GB
8GB
Disk
512MB
512MB
512MB
4.5GB + 4GB
Imenovanje
Jedan
primjena, test
podatkovni centar
mali
ili prosjek
podatkovni centar
Učitano
vatrozid
Balansiranje
opterećenja na razini L7
Dolje u tablici nalaze se radne metrike mrežnih usluga ovisno o veličini NSX Edge.
NSX Edge
(Kompaktan)
NSX Edge
(Velika)
NSX Edge
(četverostruki veliki)
NSX Edge
(X-veliki)
Sučelja
10
10
10
10
Podsučelja (trunk)
200
200
200
200
NAT pravila
2,048
4,096
4,096
8,192
ARP unosi
Do prepisivanja
1,024
2,048
2,048
2,048
FW pravila
2000
2000
2000
2000
FW izvedba
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP bazeni
20,000
20,000
20,000
20,000
ECMP staze
8
8
8
8
Statičke rute
2,048
2,048
2,048
2,048
LB Bazeni
64
64
64
1,024
LB virtualni poslužitelji
64
64
64
1,024
LB poslužitelj/pool
32
32
32
32
LB zdravstveni pregledi
320
320
320
3,072
Pravila prijave LB
4,096
4,096
4,096
4,096
L2VPN klijenti Hub to Spoke
5
5
5
5
L2VPN mreže po klijentu/poslužitelju
200
200
200
200
IPSec tuneli
512
1,600
4,096
6,000
SSLVPN tuneli
50
100
100
1,000
SSLVPN privatne mreže
16
16
16
16
Istodobne sjednice
64,000
1,000,000
1,000,000
1,000,000
Sesije/drugi
8,000
50,000
50,000
50,000
LB propusnost L7 proxy)
2.2Gbps
2.2Gbps
3Gbps
LB propusnost L4 način)
6Gbps
6Gbps
6Gbps
LB veze (L7 proxy)
46,000
50,000
50,000
LB istodobne veze (L7 proxy)
8,000
60,000
60,000
LB veze/s (L4 način rada)
50,000
50,000
50,000
LB istodobne veze (L4 način)
600,000
1,000,000
1,000,000
BGP rute
20,000
50,000
250,000
250,000
BGP susjedi
10
20
100
100
Preraspodjela BGP ruta
Nema ograničenja
Nema ograničenja
Nema ograničenja
Nema ograničenja
OSPF rute
20,000
50,000
100,000
100,000
OSPF LSA unosa Maks. 750 Tip-1
20,000
50,000
100,000
100,000
OSPF susjedstva
10
20
40
40
Preraspodijeljene OSPF rute
2000
5000
20,000
20,000
Ukupno ruta
20,000
50,000
250,000
250,000
→
Tablica pokazuje da se preporučuje organiziranje balansiranja na NSX Edge za produktivne scenarije samo počevši od velike veličine.
To je sve što imam za danas. U sljedećim dijelovima proći ću detaljno kako konfigurirati svaku mrežnu uslugu NSX Edge.
Izvor: www.habr.com