Si ou gade nan konfigirasyon nenpòt firewall, Lè sa a, gen plis chans nou pral wè yon fèy ak yon pakèt adrès IP, pò, pwotokòl ak subnets. Sa a se fason politik sekirite rezo pou aksè itilizatè a resous yo klasik aplike. Okòmansman yo eseye kenbe lòd nan konfigirasyon an, men answit anplwaye yo kòmanse deplase soti nan depatman an depatman, sèvè yo miltipliye epi chanje wòl yo, aksè pou diferan pwojè parèt kote yo anjeneral pa pèmèt, ak dè santèn de chemen kabrit enkoni parèt.
Akote kèk règ, si w gen chans, gen kòmantè "Vasya mande m 'fè sa" oswa "Sa a se yon pasaj nan DMZ la." Administratè rezo a kite, epi tout bagay vin konplètman klè. Lè sa a, yon moun deside netwaye konfigirasyon Vasya a, ak SAP te fè aksidan, paske Vasya yon fwa te mande aksè sa a pou kouri SAP konba a.
Jodi a mwen pral pale sou solisyon an VMware NSX, ki ede jisteman aplike kominikasyon rezo ak politik sekirite san konfizyon nan konfigirasyon firewall. Mwen pral montre w ki nouvo karakteristik yo te parèt konpare ak sa VMware te deja nan pati sa a.
VMWare NSX se yon platfòm Virtualization ak sekirite pou sèvis rezo. NSX rezoud pwoblèm routage, chanje, balans chaj, firewall epi li ka fè anpil lòt bagay enteresan.
NSX se siksesè pwòp pwodwi vCloud Networking and Security (vCNS) VMware ak Nicira NVP akeri a.
Soti nan vCNS rive nan NSX
Anvan sa, yon kliyan te gen yon vCNS vShield Edge machin vityèl separe nan yon nwaj ki te bati sou VMware vCloud. Li te aji kòm yon pòtay fwontyè, kote li te posib yo konfigirasyon anpil fonksyon rezo: NAT, DHCP, Firewall, VPN, balans chaj, elatriye vShield Edge limite entèraksyon an nan machin vityèl la ak mond lan deyò dapre règleman yo espesifye nan la. Firewall ak NAT. Nan rezo a, machin vityèl kominike youn ak lòt lib nan subnets. Si ou reyèlman vle divize ak konkeri trafik, ou ka fè yon rezo separe pou pati endividyèl nan aplikasyon yo (diferan machin vityèl) epi mete règ ki apwopriye yo pou entèraksyon rezo yo nan firewall la. Men, sa a se long, difisil ak san enterè, espesyalman lè ou gen plizyè douzèn machin vityèl.
Nan NSX, VMware aplike konsèp nan mikwo-segmentasyon lè l sèvi avèk yon firewall distribiye ki te bati nan nwayo a hypervisor. Li presize règleman sekirite ak rezo entèraksyon pa sèlman pou adrès IP ak MAC, men tou pou lòt objè: machin vityèl, aplikasyon. Si NSX deplwaye nan yon òganizasyon, objè sa yo kapab yon itilizatè oswa yon gwoup itilizatè ki soti nan Active Directory. Chak objè sa yo vin tounen yon mikwosegman nan pwòp bouk sekirite li yo, nan subnet ki nesesè yo, ak pwòp DMZ brikabrak li yo :).
Anvan sa, te gen yon sèl perimèt sekirite pou tout pisin resous yo, pwoteje pa yon switch kwen, men ak NSX ou ka pwoteje yon machin vityèl separe kont entèraksyon ki pa nesesè, menm nan menm rezo a.
Règleman sekirite ak rezo adapte si yon antite deplase nan yon rezo diferan. Pou egzanp, si nou deplase yon machin ki gen yon baz done nan yon lòt segman rezo oswa menm nan yon lòt sant done vityèl konekte, Lè sa a, règ yo ekri pou machin vityèl sa a ap kontinye aplike kèlkeswa nouvo kote li yo. Sèvè aplikasyon an ap toujou kapab kominike ak baz done a.
Pòtay kwen an tèt li, vCNS vShield Edge, te ranplase pa NSX Edge. Li gen tout karakteristik mesye yo nan ansyen Edge a, plis kèk nouvo karakteristik itil. Nou pral pale sou yo pi lwen.
Kisa ki nouvo ak NSX Edge la?
NSX Edge fonksyonalite depann sou
firewall. Ou ka chwazi adrès IP, rezo, koòdone pòtay, ak machin vityèl kòm objè yo pral aplike règ yo.
DHCP. Anplis de konfigirasyon seri adrès IP ki pral otomatikman bay machin vityèl sou rezo sa a, NSX Edge kounye a gen fonksyon sa yo: Obligatwa и Relay.
Nan tab la Liaisons Ou ka mare adrès MAC nan yon machin vityèl nan yon adrès IP si ou bezwen adrès IP la pa chanje. Bagay pwensipal lan se ke adrès IP sa a pa enkli nan pisin DHCP la.
Nan tab la Relay se relè mesaj DHCP configuré sou sèvè DHCP ki sitiye andeyò òganizasyon w nan vCloud Director, ki gen ladan sèvè DHCP nan enfrastrikti fizik la.
Routage. vShield Edge te kapab sèlman configured routage estatik. Routage dinamik ak sipò pou pwotokòl OSPF ak BGP parèt isit la. Anviwònman ECMP (Aktif-aktif) yo te vin disponib tou, ki vle di aktif-aktif failover nan routeurs fizik yo.
Mete kanpe OSPF
Mete kanpe BGP
Yon lòt bagay nouvo se mete kanpe transfè wout ant diferan pwotokòl,
redistribisyon wout.
L4/L7 balanse chaj. X-Forwarded-For te prezante pou header HTTPs la. Tout moun te kriye san li. Pou egzanp, ou gen yon sit entènèt ke w ap balanse. San yo pa voye header sa a, tout bagay ap travay, men nan estatistik yo sèvè entènèt ou te wè pa IP a nan vizitè yo, men IP a nan balans lan. Koulye a, tout bagay dwat.
Epitou nan tab la Règ aplikasyon ou kapab kounye a ajoute scripts ki pral dirèkteman kontwole balanse trafik.
Vpn. Anplis IPSec VPN, NSX Edge sipòte:
- L2 VPN, ki pèmèt ou detire rezo ant sit ki gaye jeyografikman. Tankou yon VPN nesesè, pou egzanp, pou lè w ap deplase nan yon lòt sit, machin vityèl la rete nan menm subnet la epi kenbe adrès IP li yo.
- SSL VPN Plus, ki pèmèt itilizatè yo konekte adistans nan yon rezo antrepriz. Nan nivo vSphere te gen yon fonksyon konsa, men pou vCloud Director sa a se yon inovasyon.
Sètifika SSL. Sètifika yo kapab kounye a enstale sou NSX Edge la. Sa a ankò vini nan kesyon an nan ki moun ki te bezwen yon balanse san yon sètifika pou https.
Gwoupman objè yo. Nan tab sa a, gwoup objè yo espesifye pou ki sèten règ entèraksyon rezo ap aplike, pou egzanp, règ firewall.
Objè sa yo kapab adrès IP ak MAC.
Genyen tou yon lis sèvis (konbinezon pwotokòl-pò) ak aplikasyon ki ka itilize lè w ap kreye règ firewall. Se sèlman administratè pòtal vCD ki kapab ajoute nouvo sèvis ak aplikasyon.
Estatistik. Estatistik koneksyon: trafik ki pase nan pòtay la, firewall ak balans.
Estati ak estatistik pou chak tinèl IPSEC VPN ak L2 VPN.
Logging. Nan tab Anviwònman Edge, ou ka mete sèvè a pou anrejistre mòso bwa. Logging travay pou DNAT/SNAT, DHCP, Firewall, routage, balans, IPsec VPN, SSL VPN Plus.
Kalite alèt sa yo disponib pou chak objè/sèvis:
— Debug
— Alèt
— Kritik
- Erè
— Avètisman
— Avi
— Enfòmasyon
NSX Edge Dimansyon
Tou depan de travay yo te rezoud ak volim nan VMware
NSX Edge
(Konpak)
NSX Edge
(Gwo)
NSX Edge
(Kwad-Gwo)
NSX Edge
(X-Gwo)
vCPU
1
2
4
6
Memwa
512MB
1GB
1GB
8GB
Ki gen kapasite
512MB
512MB
512MB
4.5GB + 4GB
Randevou
Youn
aplikasyon, tès
sant done
Ti
oswa mwayèn
sant done
Chaje
firewall
Balanse
chaj nan nivo L7
Anba a nan tablo a se mezi fonksyone nan sèvis rezo a depann sou gwosè NSX Edge.
NSX Edge
(Konpak)
NSX Edge
(Gwo)
NSX Edge
(Kwad-Gwo)
NSX Edge
(X-Gwo)
Interfaces
10
10
10
10
Sub Entèfas (Kòf)
200
200
200
200
Règ NAT
2,048
4,096
4,096
8,192
Antre ARP
Jiska Ekri
1,024
2,048
2,048
2,048
Règ FW
2000
2000
2000
2000
Pèfòmans FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Pisin DHCP
20,000
20,000
20,000
20,000
Chemen ECMP
8
8
8
8
Wout estatik
2,048
2,048
2,048
2,048
LB pisin
64
64
64
1,024
LB Virtual Servers
64
64
64
1,024
LB sèvè/Pisin
32
32
32
32
Chèk Sante LB
320
320
320
3,072
Règ aplikasyon LB
4,096
4,096
4,096
4,096
L2VPN Kliyan Hub pou pale
5
5
5
5
Rezo L2VPN pou chak Kliyan/Sèvè
200
200
200
200
Tinèl IPSec
512
1,600
4,096
6,000
Tinèl SSLVPN
50
100
100
1,000
SSLVPN Rezo Prive
16
16
16
16
Sesyon konkouran
64,000
1,000,000
1,000,000
1,000,000
Sesyon/Dezyèm
8,000
50,000
50,000
50,000
LB Debi L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB Debi L4 mòd)
6Gbps
6Gbps
6Gbps
LB Koneksyon/yo (L7 Proxy)
46,000
50,000
50,000
LB Koneksyon Konkouran (L7 Proxy)
8,000
60,000
60,000
LB Koneksyon/s (L4 Mode)
50,000
50,000
50,000
LB Koneksyon Konkouran (L4 Mode)
600,000
1,000,000
1,000,000
Wout BGP
20,000
50,000
250,000
250,000
BGP Vwazen yo
10
20
100
100
Wout BGP redistribiye
Pa gen limit
Pa gen limit
Pa gen limit
Pa gen limit
Wout OSPF
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Kalite-1
20,000
50,000
100,000
100,000
Adjasans OSPF
10
20
40
40
Wout OSPF redistribiye
2000
5000
20,000
20,000
Total Wout
20,000
50,000
250,000
250,000
→
Tablo a montre ke li rekòmande pou òganize balans sou NSX Edge pou senaryo pwodiktif sèlman apati gwosè Gwo.
Se tout sa mwen genyen pou jodi a. Nan pati sa yo mwen pral ale nan an detay ki jan yo konfigirasyon chak sèvis rezo NSX Edge.
Sous: www.habr.com