Եթե նայեք որևէ firewall-ի կազմաձևին, ապա, ամենայն հավանականությամբ, մենք կտեսնենք մի թերթիկ IP հասցեներով, նավահանգիստներով, արձանագրություններով և ենթացանցերով: Ահա թե ինչպես են դասականորեն իրականացվում ցանցի անվտանգության քաղաքականությունը՝ օգտատերերի ռեսուրսների հասանելիության համար: Սկզբում նրանք փորձում են կարգուկանոն պահպանել կոնֆիգուրացիայի մեջ, բայց հետո աշխատակիցները սկսում են տեղափոխվել բաժանմունքից բաժին, սերվերները բազմապատկվում են և փոխում իրենց դերերը, տարբեր նախագծերի մուտքը հայտնվում է այնտեղ, որտեղ նրանք սովորաբար չեն կարողանում, և հարյուրավոր անհայտ այծերի հետքեր են ձեռք բերվում:
Որոշ կանոնների մոտ, եթե ձեր բախտը բերել է, գրված են «Ես խնդրեցի Վասյային դա անել» կամ «Սա հատված է դեպի DMZ» մեկնաբանությունները։ Ցանցի ադմինիստրատորը հեռանում է, և ամեն ինչ դառնում է ամբողջովին անհասկանալի: Հետո ինչ-որ մեկը որոշեց մաքրել Վասյայի կոնֆիգուրգը, և SAP-ը խափանվեց, քանի որ Վասյան մի անգամ խնդրեց այս մուտքը մարտական SAP-ի հետ աշխատելու համար:
Այսօր ես կխոսեմ VMware NSX լուծման մասին, որն օգնում է կետ առ կետ կիրառել ցանցային հաղորդակցության և անվտանգության քաղաքականությունը՝ առանց շփոթության firewall-ի կոնֆիգուրացիաներում: Ես ձեզ ցույց կտամ, թե ինչ նոր հնարավորություններ են հայտնվել՝ համեմատած այն բանի հետ, ինչ նախկինում ուներ VMware-ն այս մասում:
VMWare NSX-ը վիրտուալացման և ցանցային ծառայությունների անվտանգության հարթակ է: NSX-ը լուծում է երթուղավորման, անջատման, բեռների հավասարակշռման, firewall-ի և շատ այլ հետաքրքիր բաների խնդիրները։
NSX-ը VMware-ի սեփական vCloud Networking and Security (vCNS) արտադրանքի իրավահաջորդն է և ձեռք է բերվել Nicira NVP-ի կողմից:
vCNS-ից մինչև NSX
Նախկինում VMware vCloud-ի վրա կառուցված ամպի հաճախորդն ուներ առանձին vCNS vShield Edge վիրտուալ մեքենա: Այն հանդես էր գալիս որպես եզրային դարպաս, որտեղ հնարավոր էր կարգավորել ցանցի բազմաթիվ գործառույթներ՝ NAT, DHCP, Firewall, VPN, բեռնման հավասարակշռող և այլն: Firewall և NAT: Ցանցի ներսում վիրտուալ մեքենաներն ազատորեն հաղորդակցվում էին միմյանց միջև ենթացանցերում: Եթե դուք իսկապես ցանկանում եք բաժանել և գերիշխել տրաֆիկը, կարող եք առանձին ցանց ստեղծել հավելվածների առանձին մասերի համար (տարբեր վիրտուալ մեքենաներ) և սահմանել համապատասխան կանոններ դրանց ցանցային փոխազդեցության համար firewall-ում: Բայց սա երկար է, բարդ և անհետաքրքիր, հատկապես, երբ ունես մի քանի տասնյակ վիրտուալ մեքենաներ:
NSX-ում VMware-ն իրականացրեց միկրոսեգմենտացիայի հայեցակարգը՝ օգտագործելով հիպերվիզորի միջուկում ներկառուցված բաշխված firewall-ը: Այն սահմանում է անվտանգության և ցանցային փոխգործակցության քաղաքականություն ոչ միայն IP և MAC հասցեների, այլ նաև այլ օբյեկտների՝ վիրտուալ մեքենաների, հավելվածների համար: Եթե NSX-ը տեղակայված է կազմակերպության ներսում, ապա Active Directory-ից օգտվող կամ օգտվողների խումբ կարող է դառնալ այդպիսի օբյեկտ: Յուրաքանչյուր այդպիսի օբյեկտ վերածվում է միկրոսեգմենտի իր անվտանգության օղակում, աջ ենթացանցում, իր հարմարավետ DMZ-ով :):
Նախկինում ամբողջ ռեսուրսային լողավազանի համար կար միայն մեկ անվտանգության պարագիծ, այն պաշտպանված էր եզրային անջատիչով, իսկ NSX-ի միջոցով դուք կարող եք պաշտպանել առանձին վիրտուալ մեքենան ավելորդ փոխազդեցություններից նույնիսկ նույն ցանցում:
Անվտանգության և ցանցային քաղաքականությունը հարմարվում է, եթե օբյեկտը տեղափոխվի այլ ցանց: Օրինակ, եթե տվյալների բազայով մեքենան տեղափոխենք ցանցի մեկ այլ հատված կամ նույնիսկ մեկ այլ հարակից վիրտուալ տվյալների կենտրոն, ապա այս վիրտուալ մեքենայի համար սահմանված կանոնները կշարունակեն գործել՝ անկախ նրա նոր գտնվելու վայրից: Հավելվածի սերվերը դեռ կկարողանա շփվել տվյալների բազայի հետ:
vCNS vShield Edge-ն ինքնին փոխարինվել է NSX Edge-ով: Այն ունի հին Edge-ի բոլոր ջենթլմենական իրերը և մի քանի հիանալի նոր հնարավորություններ: Նրանց մասին և կքննարկվեն հետագա:
Ի՞նչ նորություն կա NSX Edge-ի հետ:
NSX Edge ֆունկցիոնալությունը կախված է NSX. Դրանք հինգն են՝ Ստանդարտ, Պրոֆեսիոնալ, Ընդլայնված, Ձեռնարկություն, Plus Remote մասնաճյուղ: Ամեն նոր և հետաքրքիր կարելի է տեսնել միայն Advanced-ից սկսած: Ներառյալ նոր ինտերֆեյսը, որը բացվում է նոր ներդիրում մինչև vCloud-ի ամբողջական անցումը HTML5-ին (VMware-ը խոստանում է 2019 թվականի ամառը)։
Firewall: Դուք կարող եք ընտրել IP հասցեները, ցանցերը, դարպասների միջերեսները և վիրտուալ մեքենաները որպես օբյեկտներ, որոնց նկատմամբ կկիրառվեն կանոնները:
DHCP Ի լրումն IP հասցեների տիրույթի կազմաձևումից, որոնք ավտոմատ կերպով կտրամադրվեն այս ցանցի վիրտուալ մեքենաներին, NSX Edge-ը դարձել է հասանելի գործառույթներ: Պարտավորեցնող и Ռելե.
Ներդիրում Բռնցքամարտեր դուք կարող եք կապել վիրտուալ մեքենայի MAC հասցեն IP հասցեին, եթե ցանկանում եք, որ IP հասցեն չփոխվի: Հիմնական բանն այն է, որ այս IP հասցեն ներառված չէ DHCP Pool-ում:
Ներդիրում Ռելե կարգավորում է DHCP հաղորդագրությունների փոխանցումը DHCP սերվերներին, որոնք գտնվում են ձեր կազմակերպությունից դուրս vCloud Director-ում, ներառյալ ֆիզիկական ենթակառուցվածքի DHCP սերվերները:
Երթուղիավորում. vShield Edge-ը կարող է կազմաձևվել միայն ստատիկ երթուղղման միջոցով: Այստեղ հայտնվեց դինամիկ երթուղում՝ OSPF և BGP արձանագրությունների աջակցությամբ: Հասանելի են դարձել նաև ECMP (Ակտիվ-ակտիվ) կարգավորումները, ինչը նշանակում է ակտիվ-ակտիվ ձախողում ֆիզիկական երթուղիչներին:
OSPF-ի կարգավորում
BGP-ի կարգավորում
Մեկ այլ նոր բան է երթուղիների փոխանցումը տարբեր արձանագրությունների միջև,
երթուղու վերաբաշխում.
L4/L7 Բեռի հավասարակշռող: Ներկայացվեց X-Forwarded-For HTTP-ների վերնագրի համար: Առանց նրա բոլորը լաց էին լինում։ Օրինակ, դուք ունեք մի կայք, որը դուք հավասարակշռում եք: Առանց այս վերնագրի վերահասցեավորման, ամեն ինչ աշխատում է, բայց վեբ սերվերի վիճակագրության մեջ դուք տեսաք ոչ թե այցելուների IP-ն, այլ հավասարակշռողի IP-ն։ Հիմա ամեն ինչ ճիշտ է։
Նաև «Կիրառման կանոններ» ներդիրում այժմ կարող եք ավելացնել սկրիպտներ, որոնք ուղղակիորեն կվերահսկեն երթևեկության հավասարակշռումը:
VPN: Բացի IPSec VPN-ից, NSX Edge-ն աջակցում է.
- L2 VPN, որը թույլ է տալիս ձգել ցանցերը աշխարհագրորեն ցրված կայքերի միջև: Նման VPN անհրաժեշտ է, օրինակ, որպեսզի այլ կայք տեղափոխվելիս վիրտուալ մեքենան մնա նույն ենթացանցում և պահպանի իր IP հասցեն։
- SSL VPN Plus, որը թույլ է տալիս օգտվողներին հեռակա կարգով միանալ կորպորատիվ ցանցին: Նման գործառույթ կար vSphere մակարդակում, բայց vCloud Director-ի համար սա նորամուծություն է։
SSL վկայագրեր. Վկայականներն այժմ կարող են տեղադրվել NSX Edge-ում: Սա կրկին այն հարցին, թե ում էր պետք հավասարակշռող առանց սերտիֆիկատի https-ի համար։
Օբյեկտների խմբավորում. Այս ներդիրը պարզապես սահմանում է օբյեկտների խմբերը, որոնց համար կկիրառվեն ցանցի փոխազդեցության որոշակի կանոններ, օրինակ՝ firewall-ի կանոնները:
Այս օբյեկտները կարող են լինել IP և MAC հասցեներ:
Այն նաև պարունակում է ծառայությունների ցանկ (պրոտոկոլ-պորտի համակցություն) և հավելվածներ, որոնք կարող են օգտագործվել firewall-ի կանոնները կազմելիս։ Միայն vCD պորտալի ադմինիստրատորը կարող է ավելացնել նոր ծառայություններ և հավելվածներ:
Վիճակագրություն. Միացման վիճակագրություն. երթևեկություն, որն անցնում է դարպասի, firewall-ի և բեռի հավասարակշռիչի միջով:
Կարգավիճակ և վիճակագրություն յուրաքանչյուր IPSEC VPN և L2 VPN թունելի համար:
անտառահատումներ. Edge Settings ներդիրում կարող եք կարգավորել սերվերը գրանցամատյանների գրանցման համար: Լոգինգն աշխատում է DNAT/SNAT, DHCP, Firewall, Routing, Balancer, IPsec VPN, SSL VPN Plus համար:
Յուրաքանչյուր օբյեկտի/ծառայության համար հասանելի են ահազանգերի հետևյալ տեսակները.
- վրիպազերծում
- Զգուշացում
- Քննադատական
- սխալ
- Զգուշացում
- Ծանուցում
- տեղեկատվություն
NSX Edge չափերը
Կախված լուծվելիք խնդիրներից և VMware-ի ծավալներից ստեղծել NSX Edge հետևյալ չափսերով.
NSX Edge
(Կոմպակտ)
NSX Edge
(Մեծ)
NSX Edge
(չորս մեծ)
NSX Edge
(X-Large)
vCPU
1
2
4
6
Հիշողություն
512MB
1GB
1GB
8GB
Սկավառակ
512MB
512MB
512MB
4.5GB + 4GB
Ժամադրություն
Մի բան
դիմում, թեստ
տվյալների կենտրոն
Փոքր
կամ միջին
տվյալների կենտրոն
Բեռնված
firewall
Հավասարակշռում
բեռներ L7 մակարդակում
Ստորև բերված աղյուսակը ցույց է տալիս ցանցային ծառայության կատարողականի ցուցանիշները՝ հիմնված NSX Edge-ի չափի վրա:
NSX Edge
(Կոմպակտ)
NSX Edge
(Մեծ)
NSX Edge
(չորս մեծ)
NSX Edge
(X-Large)
Որոնում
10
10
10
10
Ենթա ինտերֆեյս (բեռնախցիկ)
200
200
200
200
NAT կանոններ
2,048
4,096
4,096
8,192
ARP գրառումներ
մինչև վերագրանցելը
1,024
2,048
2,048
2,048
FW կանոններ
2000
2000
2000
2000
F.W. կատարում
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP լողավազաններ
20,000
20,000
20,000
20,000
ECMP ուղիներ
8
8
8
8
Ստատիկ երթուղիներ
2,048
2,048
2,048
2,048
LB լողավազաններ
64
64
64
1,024
LB վիրտուալ սերվերներ
64
64
64
1,024
LB սերվեր / լողավազան
32
32
32
32
LB առողջության ստուգումներ
320
320
320
3,072
LB կիրառման կանոններ
4,096
4,096
4,096
4,096
L2VPN հաճախորդների կենտրոն՝ խոսելու համար
5
5
5
5
L2VPN ցանցեր մեկ հաճախորդի/սերվերի համար
200
200
200
200
IPSec թունելներ
512
1,600
4,096
6,000
SSL VPN թունելներ
50
100
100
1,000
SSLVPN մասնավոր ցանցեր
16
16
16
16
Միաժամանակյա նիստեր
64,000
1,000,000
1,000,000
1,000,000
Նիստեր / Երկրորդ
8,000
50,000
50,000
50,000
LB թողունակություն L7 պրոքսի)
2.2Gbps
2.2Gbps
3Gbps
LB թողունակություն L4 ռեժիմ)
6Gbps
6Gbps
6Gbps
LB միացումներ (L7 պրոքսի)
46,000
50,000
50,000
LB միաժամանակյա միացումներ (L7 վստահված անձ)
8,000
60,000
60,000
LB միացումներ/եր (L4 ռեժիմ)
50,000
50,000
50,000
LB միաժամանակյա միացումներ (L4 ռեժիմ)
600,000
1,000,000
1,000,000
BGP երթուղիներ
20,000
50,000
250,000
250,000
BGP Հարևաններ
10
20
100
100
BGP երթուղիները վերաբաշխված են
Ոչ մի սահմանափակում
Ոչ մի սահմանափակում
Ոչ մի սահմանափակում
Ոչ մի սահմանափակում
OSPF երթուղիներ
20,000
50,000
100,000
100,000
OSPF LSA մուտքեր Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF հարևանություններ
10
20
40
40
OSPF երթուղիները վերաբաշխված են
2000
5000
20,000
20,000
Ընդհանուր երթուղիներ
20,000
50,000
250,000
250,000
→
Աղյուսակը ցույց է տալիս, որ խորհուրդ է տրվում NSX Edge-ում հավասարակշռում կազմակերպել արդյունավետ սցենարների համար՝ սկսած միայն Մեծ չափսից:
Այսօրվա համար ես ամեն ինչ ունեմ։ Հետևյալ մասերում ես մանրամասն կանդրադառնամ NSX Edge ցանցի յուրաքանչյուր ծառայության կազմաձևմանը:
Source: www.habr.com