Jika Anda melihat konfigurasi firewall apa pun, kemungkinan besar kita akan melihat lembar dengan sekumpulan alamat IP, port, protokol, dan subnet. Ini adalah bagaimana kebijakan keamanan jaringan untuk akses pengguna ke sumber daya diterapkan secara klasik. Pada awalnya mereka mencoba untuk menjaga ketertiban dalam konfigurasi, tetapi kemudian karyawan mulai berpindah dari departemen ke departemen, server bertambah banyak dan mengubah peran mereka, akses muncul untuk proyek yang berbeda ke tempat-tempat di mana mereka biasanya tidak diizinkan, dan ratusan jalur kambing yang tidak diketahui muncul .
Di samping beberapa aturan, jika beruntung, ada komentar βVasya memintaku melakukan iniβ atau βIni adalah jalan menuju DMZ.β Administrator jaringan berhenti, dan semuanya menjadi tidak jelas. Lalu ada yang memutuskan untuk menghapus konfigurasi Vasya, dan SAP pun crash, karena Vasya pernah meminta akses tersebut untuk menjalankan SAP tempurnya.
Hari ini saya akan berbicara tentang solusi VMware NSX, yang membantu menerapkan komunikasi jaringan dan kebijakan keamanan secara tepat tanpa kebingungan dalam konfigurasi firewall. Saya akan menunjukkan kepada Anda fitur-fitur baru apa saja yang muncul dibandingkan dengan apa yang dimiliki VMware sebelumnya di bagian ini.
VMWare NSX adalah platform virtualisasi dan keamanan untuk layanan jaringan. NSX memecahkan masalah routing, switching, loadbalancing, firewall dan banyak hal menarik lainnya.
NSX adalah penerus produk vCloud Networking and Security (vCNS) milik VMware dan NVP Nicira yang diakuisisi.
Dari vCNS hingga NSX
Sebelumnya, klien memiliki mesin virtual vCNS vShield Edge terpisah di cloud yang dibangun di VMware vCloud. Ini bertindak sebagai gateway perbatasan, di mana dimungkinkan untuk mengkonfigurasi banyak fungsi jaringan: NAT, DHCP, Firewall, VPN, penyeimbang beban, dll. vShield Edge membatasi interaksi mesin virtual dengan dunia luar sesuai dengan aturan yang ditentukan dalam Firewall dan NAT. Di dalam jaringan, mesin virtual berkomunikasi satu sama lain secara bebas dalam subnet. Jika Anda benar-benar ingin membagi dan menaklukkan lalu lintas, Anda dapat membuat jaringan terpisah untuk masing-masing bagian aplikasi (mesin virtual yang berbeda) dan menetapkan aturan yang sesuai untuk interaksi jaringannya di firewall. Tapi ini panjang, sulit dan tidak menarik, terutama bila Anda memiliki beberapa lusin mesin virtual.
Di NSX, VMware menerapkan konsep segmentasi mikro menggunakan firewall terdistribusi yang dibangun ke dalam kernel hypervisor. Ini menentukan kebijakan keamanan dan interaksi jaringan tidak hanya untuk alamat IP dan MAC, tetapi juga untuk objek lain: mesin virtual, aplikasi. Jika NSX disebarkan dalam suatu organisasi, objek ini dapat berupa pengguna atau grup pengguna dari Direktori Aktif. Setiap objek tersebut berubah menjadi segmen mikro dalam lingkaran keamanannya sendiri, menjadi subnet yang diperlukan, dengan DMZ miliknya sendiri yang nyaman :).
Sebelumnya, hanya ada satu perimeter keamanan untuk seluruh kumpulan sumber daya, dilindungi oleh edge switch, namun dengan NSX Anda dapat melindungi mesin virtual terpisah dari interaksi yang tidak perlu, bahkan dalam jaringan yang sama.
Kebijakan keamanan dan jaringan beradaptasi jika suatu entitas berpindah ke jaringan lain. Misalnya, jika kita memindahkan mesin dengan database ke segmen jaringan lain atau bahkan ke pusat data virtual lain yang terhubung, maka aturan yang ditulis untuk mesin virtual ini akan terus berlaku terlepas dari lokasi barunya. Server aplikasi masih dapat berkomunikasi dengan database.
Edge gateway itu sendiri, vCNS vShield Edge, telah digantikan oleh NSX Edge. Ia memiliki semua fitur sopan dari Edge lama, ditambah beberapa fitur baru yang berguna. Kami akan membicarakannya lebih lanjut.
Apa yang baru dari NSX Edge?
Fungsionalitas NSX Edge bergantung pada
firewall. Anda dapat memilih alamat IP, jaringan, antarmuka gateway, dan mesin virtual sebagai objek yang aturannya akan diterapkan.
DHCP. Selain mengonfigurasi rentang alamat IP yang akan dikeluarkan secara otomatis ke mesin virtual di jaringan ini, NSX Edge kini memiliki fungsi berikut: Mengikat ΠΈ menyampaikan.
Di tab Bindings Anda dapat mengikat alamat MAC mesin virtual ke alamat IP jika Anda tidak ingin alamat IP diubah. Yang penting alamat IP ini tidak termasuk dalam DHCP Pool.
Di tab menyampaikan relai pesan DHCP dikonfigurasi ke server DHCP yang berlokasi di luar organisasi Anda di vCloud Director, termasuk server DHCP infrastruktur fisik.
Rute. vShield Edge hanya dapat mengonfigurasi perutean statis. Perutean dinamis dengan dukungan untuk protokol OSPF dan BGP muncul di sini. Pengaturan ECMP (Aktif-aktif) juga telah tersedia, yang berarti failover aktif-aktif ke router fisik.
Menyiapkan OSPF
Menyiapkan BGP
Hal baru lainnya adalah mengatur transfer rute antar protokol yang berbeda,
redistribusi rute.
Penyeimbang Beban L4/L7. X-Forwarded-For diperkenalkan untuk header HTTPs. Semua orang menangis tanpa dia. Misalnya, Anda memiliki website yang sedang Anda seimbangkan. Tanpa meneruskan header ini, semuanya berfungsi, tetapi dalam statistik server web Anda tidak melihat IP pengunjung, tetapi IP penyeimbang. Sekarang semuanya baik-baik saja.
Juga di tab Aturan Aplikasi Anda sekarang dapat menambahkan skrip yang akan secara langsung mengontrol keseimbangan lalu lintas.
VPN. Selain IPSec VPN, NSX Edge mendukung:
- L2 VPN, yang memungkinkan Anda memperluas jaringan antar situs yang tersebar secara geografis. VPN semacam itu diperlukan, misalnya, agar ketika berpindah ke situs lain, mesin virtual tetap berada di subnet yang sama dan mempertahankan alamat IP-nya.
- SSL VPN Plus, yang memungkinkan pengguna terhubung dari jarak jauh ke jaringan perusahaan. Di level vSphere ada fungsi seperti itu, tetapi untuk vCloud Director ini adalah sebuah inovasi.
Sertifikat SSL. Sertifikat sekarang dapat diinstal di NSX Edge. Ini sekali lagi muncul pertanyaan siapa yang membutuhkan penyeimbang tanpa sertifikat untuk https.
Mengelompokkan Objek. Tab ini menentukan grup objek yang aturan interaksi jaringan tertentu akan berlaku, misalnya aturan firewall.
Objek-objek ini dapat berupa alamat IP dan MAC.
Terdapat juga daftar layanan (kombinasi protokol-port) dan aplikasi yang dapat digunakan saat membuat aturan firewall. Hanya administrator portal vCD yang dapat menambahkan layanan dan aplikasi baru.
Statistik. Statistik koneksi: lalu lintas yang melewati gateway, firewall, dan penyeimbang.
Status dan statistik untuk setiap terowongan IPSEC VPN dan L2 VPN.
Pencatatan. Di tab Pengaturan Tepi, Anda dapat mengatur server untuk merekam log. Logging berfungsi untuk DNAT/SNAT, DHCP, Firewall, perutean, penyeimbang, IPsec VPN, SSL VPN Plus.
Jenis peringatan berikut tersedia untuk setiap objek/layanan:
βDebug
-Peringatan
-Kritis
- Kesalahan
-Peringatan
- Melihat
β Informasi
Dimensi Tepi NSX
Tergantung pada tugas yang diselesaikan dan volume VMware
Tepi NSX
(Ringkas)
Tepi NSX
(Besar)
Tepi NSX
(Segi Empat Besar)
Tepi NSX
(X-Besar)
vCPU
1
2
4
6
Memori
512MB
1GB
1GB
8GB
Piringan
512MB
512MB
512MB
4.5GB + 4GB
Penunjukan
Satu
aplikasi, tes
Pusat Data
Kecil
atau rata-rata
Pusat Data
Sarat
firewall
Menyeimbangkan
beban pada level L7
Tabel di bawah ini adalah metrik pengoperasian layanan jaringan tergantung pada ukuran NSX Edge.
Tepi NSX
(Ringkas)
Tepi NSX
(Besar)
Tepi NSX
(Segi Empat Besar)
Tepi NSX
(X-Besar)
Antarmuka
10
10
10
10
Sub Antarmuka (Batang)
200
200
200
200
Aturan NAT
2,048
4,096
4,096
8,192
Entri ARP
Sampai Timpa
1,024
2,048
2,048
2,048
Aturan FW
2000
2000
2000
2000
Kinerja FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Kumpulan DHCP
20,000
20,000
20,000
20,000
Jalur ECMP
8
8
8
8
Rute Statis
2,048
2,048
2,048
2,048
Kolam LB
64
64
64
1,024
Server Virtual LB
64
64
64
1,024
Server/Kolam LB
32
32
32
32
Pemeriksaan Kesehatan LB
320
320
320
3,072
Aturan Aplikasi LB
4,096
4,096
4,096
4,096
Hub Klien L2VPN untuk Berbicara
5
5
5
5
Jaringan L2VPN per Klien/Server
200
200
200
200
Terowongan IPSec
512
1,600
4,096
6,000
Terowongan SSLVPN
50
100
100
1,000
Jaringan Pribadi SSLVPN
16
16
16
16
Sesi Serentak
64,000
1,000,000
1,000,000
1,000,000
Sesi/Kedua
8,000
50,000
50,000
50,000
Proksi L7 Throughput LB)
2.2Gbps
2.2Gbps
3Gbps
Mode L4 Keluaran LB)
6Gbps
6Gbps
6Gbps
Koneksi LB/dtk (Proksi L7)
46,000
50,000
50,000
Koneksi Serentak LB (L7 Proxy)
8,000
60,000
60,000
Koneksi LB/dtk (Mode L4)
50,000
50,000
50,000
Koneksi Serentak LB (Mode L4)
600,000
1,000,000
1,000,000
Rute BGP
20,000
50,000
250,000
250,000
Tetangga BGP
10
20
100
100
Rute BGP Didistribusikan Ulang
No Limit
No Limit
No Limit
No Limit
Rute OSPF
20,000
50,000
100,000
100,000
Entri OSPF LSA Maks 750 Tipe-1
20,000
50,000
100,000
100,000
Kedekatan OSPF
10
20
40
40
Rute OSPF Didistribusikan Ulang
2000
5000
20,000
20,000
Jumlah Rute
20,000
50,000
250,000
250,000
β
Tabel menunjukkan bahwa direkomendasikan untuk mengatur penyeimbangan pada NSX Edge untuk skenario produktif hanya dimulai dari ukuran Besar.
Hanya itu yang saya punya untuk hari ini. Pada bagian berikut saya akan membahas secara detail cara mengkonfigurasi setiap layanan jaringan NSX Edge.
Sumber: www.habr.com