Ha megnézi bármely tűzfal konfigurációját, akkor valószínűleg egy csomó IP-címet, portot, protokollt és alhálózatot tartalmazó lapot fogunk látni. Klasszikusan így valósítják meg a hálózati biztonsági szabályzatokat a felhasználók erőforrásokhoz való hozzáférésére. Eleinte megpróbálják fenntartani a rendet a konfigban, de aztán elkezdenek mozogni az alkalmazottak osztályról részlegre, a szerverek szaporodnak és változnak a szerepköreik, megjelenik a különböző projektekhez való hozzáférés, ahol általában nem engedik, és több száz ismeretlen kecskeút bukkan fel.
Néhány szabály mellett, ha szerencséd van, vannak megjegyzések: „Vasya megkért, hogy tegyem ezt” vagy „Ez egy átjáró a DMZ-hez”. A hálózati rendszergazda kilép, és minden teljesen homályos lesz. Aztán valaki úgy döntött, hogy törli Vasya konfigurációját, és az SAP összeomlott, mert Vasya egyszer kérte ezt a hozzáférést a harci SAP futtatásához.
Ma a VMware NSX megoldásról fogok beszélni, amely segít a hálózati kommunikációs és biztonsági házirendek precíz, zűrzavarmentes alkalmazásában a tűzfal konfigurációkban. Megmutatom, milyen újdonságok jelentek meg a VMware korábbi részéhez képest.
A VMWare NSX egy virtualizációs és biztonsági platform hálózati szolgáltatásokhoz. Az NSX megoldja az útválasztással, kapcsolással, terheléselosztással, tűzfallal kapcsolatos problémákat, és sok más érdekes dolgot tud végezni.
Az NSX a VMware saját vCloud Networking and Security (vCNS) termékének és a felvásárolt Nicira NVP-nek az utódja.
vCNS-ről NSX-re
Korábban egy kliensnek külön vCNS vShield Edge virtuális gépe volt a VMware vCloudra épített felhőben. Határátjáróként működött, ahol számos hálózati funkció konfigurálására volt lehetőség: NAT, DHCP, tűzfal, VPN, terheléselosztó stb. A vShield Edge a virtuális gép interakcióját a külvilággal korlátozta az Tűzfal és NAT. A hálózaton belül a virtuális gépek szabadon kommunikáltak egymással az alhálózatokon belül. Ha valóban meg akarjuk osztani és meghódítani a forgalmat, akkor az alkalmazások egyes részeihez (különböző virtuális gépekhez) külön hálózatot készíthetünk, és a tűzfalban beállíthatjuk a megfelelő szabályokat a hálózati interakciójukhoz. De ez hosszú, nehéz és érdektelen, különösen akkor, ha több tucat virtuális gépe van.
Az NSX-ben a VMware megvalósította a mikroszegmentáció koncepcióját a hypervisor kernelbe épített elosztott tűzfal segítségével. Biztonsági és hálózati interakciós házirendeket határoz meg nemcsak IP- és MAC-címekre, hanem más objektumokra is: virtuális gépekre, alkalmazásokra. Ha az NSX egy szervezeten belül van üzembe helyezve, ezek az objektumok lehetnek egy felhasználó vagy felhasználócsoport az Active Directoryból. Minden ilyen objektum a saját biztonsági hurkában, a szükséges alhálózatban mikroszegmenssé válik, saját hangulatos DMZ-vel :).
Korábban a teljes erőforráskészlethez csak egy biztonsági perem tartozott, amelyet élkapcsolóval védtek, de az NSX-szel egy külön virtuális gépet is meg lehet védeni a felesleges interakcióktól, akár ugyanazon a hálózaton belül is.
A biztonsági és hálózati házirendek alkalmazkodnak, ha egy entitás másik hálózatra költözik. Például, ha egy adatbázissal rendelkező gépet áthelyezünk egy másik hálózati szegmensbe vagy akár egy másik csatlakoztatott virtuális adatközpontba, akkor az erre a virtuális gépre írt szabályok továbbra is érvényben maradnak, függetlenül az új helytől. Az alkalmazásszerver továbbra is képes lesz kommunikálni az adatbázissal.
Magát az élátjárót, a vCNS vShield Edge-t, az NSX Edge váltotta fel. A régi Edge összes úri tulajdonságával, valamint néhány új hasznos funkcióval rendelkezik. A továbbiakban róluk fogunk beszélni.
Mi az újdonság az NSX Edge-ben?
Az NSX Edge funkcionalitása attól függ NSX. Ezek közül öt van: Standard, Professional, Advanced, Enterprise, Plus Remote Branch Office. Minden új és érdekes csak az Advanced-től kezdve látható. Egy új felülettel, amely egészen addig, amíg a vCloud teljesen át nem vált HTML5-re (a VMware 2019 nyarát ígéri), új lapon nyílik meg.
Tűzfal. Kijelölhet IP-címeket, hálózatokat, átjáró-illesztőket és virtuális gépeket objektumként, amelyekre a szabályok vonatkozni fognak.
DHCP. A hálózat virtuális gépei számára automatikusan kiadott IP-címek tartományának konfigurálásán kívül az NSX Edge a következő funkciókkal is rendelkezik: Kötelező и Relé.
A lapon kötések A virtuális gép MAC-címét egy IP-címhez kötheti, ha azt szeretné, hogy az IP-cím ne változzon. A lényeg az, hogy ez az IP-cím nem szerepel a DHCP-készletben.
A lapon Relé A DHCP-üzenetek továbbítása olyan DHCP-kiszolgálókhoz van konfigurálva, amelyek a szervezeten kívül találhatók a vCloud Directorban, beleértve a fizikai infrastruktúra DHCP-kiszolgálóit is.
Útvonalválasztás. A vShield Edge csak statikus útválasztást tudott konfigurálni. Itt jelent meg a dinamikus útválasztás OSPF és BGP protokollok támogatásával. Elérhetővé váltak az ECMP (Active-active) beállítások is, ami az aktív-aktív feladatátvételt jelenti a fizikai útválasztókra.
OSPF beállítása
BGP beállítása
Egy másik újdonság az útvonalak átvitelének beállítása a különböző protokollok között,
útvonal újraelosztás.
L4/L7 terheléselosztó. Az X-Forwarded-For a HTTPs fejléchez került bevezetésre. Mindenki sírt nélküle. Például van egy webhelye, amelyet egyensúlyban tart. A fejléc továbbítása nélkül minden működik, de a webszerver statisztikájában nem a látogatók IP-jét láttad, hanem a kiegyenlítő IP-jét. Most minden rendben van.
Az Alkalmazásszabályok lapon is hozzáadhat szkripteket, amelyek közvetlenül szabályozzák a forgalom kiegyenlítését.
vpn. Az IPSec VPN mellett az NSX Edge támogatja:
- L2 VPN, amely lehetővé teszi a hálózatok kiterjesztését földrajzilag szétszórt helyek között. Ilyen VPN-re például azért van szükség, hogy egy másik webhelyre költözéskor a virtuális gép ugyanabban az alhálózatban maradjon, és megőrizze IP-címét.
- SSL VPN Plus, amely lehetővé teszi a felhasználók számára, hogy távolról csatlakozzanak egy vállalati hálózathoz. A vSphere szinten volt ilyen funkció, de a vCloud Director számára ez egy újítás.
SSL tanúsítványok. A tanúsítványok most már telepíthetők az NSX Edge-re. Itt ismét eljön a kérdés, hogy kinek kellett a https-hez tanúsítvány nélküli egyensúlyozó.
Objektumok csoportosítása. Ezen a lapon olyan objektumcsoportok vannak megadva, amelyekre bizonyos hálózati interakciós szabályok vonatkoznak, például tűzfalszabályok.
Ezek az objektumok lehetnek IP- és MAC-címek.
A tűzfalszabályok létrehozásakor használható szolgáltatások (protokoll-port kombináció) és alkalmazások listája is található. Csak a vCD-portál adminisztrátora adhat hozzá új szolgáltatásokat és alkalmazásokat.
Statisztika. Kapcsolati statisztikák: az átjárón, a tűzfalon és a kiegyenlítőn áthaladó forgalom.
Az egyes IPSEC VPN és L2 VPN alagút állapota és statisztikái.
Fakitermelés. Az Edge Settings lapon beállíthatja a szervert a naplók rögzítésére. A naplózás működik DNAT/SNAT, DHCP, tűzfal, útválasztás, kiegyensúlyozó, IPsec VPN, SSL VPN Plus esetén.
A következő típusú riasztások állnak rendelkezésre minden objektumhoz/szolgáltatáshoz:
— Hibakeresés
-Éber
-Kritikai
- Hiba
-Figyelem
— Vedd észre
— Információ
NSX él méretei
A megoldandó feladatoktól és a VMware mennyiségétől függően NSX Edge létrehozása a következő méretekben:
NSX Edge
(Kompakt)
NSX Edge
(Nagy)
NSX Edge
(Négy nagy)
NSX Edge
(X nagy)
vCPU
1
2
4
6
Memory design
512MB
1GB
1GB
8GB
Korong
512MB
512MB
512MB
4.5GB + 4GB
Kinevezés
Egy
alkalmazás, teszt
adatközpont
Kicsi
vagy átlagos
adatközpont
Töltött
tűzfal
kiegyensúlyozó
L7 szinten tölti be
Az alábbi táblázatban a hálózati szolgáltatások működési mutatói láthatók az NSX Edge méretétől függően.
NSX Edge
(Kompakt)
NSX Edge
(Nagy)
NSX Edge
(Négy nagy)
NSX Edge
(X nagy)
Interfészek
10
10
10
10
Al-interfészek (törzs)
200
200
200
200
NAT szabályok
2,048
4,096
4,096
8,192
ARP bejegyzések
Felülírásig
1,024
2,048
2,048
2,048
FW szabályok
2000
2000
2000
2000
FW teljesítmény
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP poolok
20,000
20,000
20,000
20,000
ECMP útvonalak
8
8
8
8
Statikus útvonalak
2,048
2,048
2,048
2,048
LB medencék
64
64
64
1,024
LB virtuális szerverek
64
64
64
1,024
LB szerver/medence
32
32
32
32
LB állapotfelmérés
320
320
320
3,072
LB jelentkezési szabályok
4,096
4,096
4,096
4,096
L2VPN Client Hub beszélni
5
5
5
5
L2VPN hálózatok kliensenként/szerverenként
200
200
200
200
IPSec alagutak
512
1,600
4,096
6,000
SSLVPN alagutak
50
100
100
1,000
SSLVPN magánhálózatok
16
16
16
16
Egyidejű munkamenetek
64,000
1,000,000
1,000,000
1,000,000
Munkamenetek/Második
8,000
50,000
50,000
50,000
LB átviteli sebesség L7 proxy)
2.2Gbps
2.2Gbps
3Gbps
LB áteresztőképesség L4 mód)
6Gbps
6Gbps
6Gbps
LB-kapcsolatok (L7-proxy)
46,000
50,000
50,000
LB párhuzamos kapcsolatok (L7 proxy)
8,000
60,000
60,000
LB csatlakozások (L4 mód)
50,000
50,000
50,000
LB párhuzamos kapcsolatok (L4 mód)
600,000
1,000,000
1,000,000
BGP útvonalak
20,000
50,000
250,000
250,000
BGP szomszédok
10
20
100
100
BGP-útvonalak újraelosztása
No Limit
No Limit
No Limit
No Limit
OSPF útvonalak
20,000
50,000
100,000
100,000
OSPF LSA bejegyzések Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF szomszédságok
10
20
40
40
OSPF útvonalak újra elosztva
2000
5000
20,000
20,000
Összes útvonal
20,000
50,000
250,000
250,000
→
A táblázat azt mutatja, hogy az NSX Edge-en az egyensúlyozást csak a nagy mérettől kezdődően javasolt termelékeny forgatókönyvek esetén megszervezni.
Ennyi van mára. A következő részekben részletesen végigmegyek az egyes NSX Edge hálózati szolgáltatások konfigurálásán.
Forrás: will.com