Ef þú skoðar stillingar hvers kyns eldveggs, þá sjáum við líklegast blað með fullt af IP tölum, höfnum, samskiptareglum og undirnetum. Þetta er hvernig netöryggisstefnur fyrir aðgang notenda að auðlindum eru útfærðar á klassískan hátt. Í fyrstu reyna þeir að halda uppi röð og reglu í stillingunum, en síðan byrja starfsmenn að færa sig á milli deilda, netþjónar fjölga sér og skipta um hlutverk, aðgangur að mismunandi verkefnum birtist þar sem þeir eru venjulega ekki leyfðir og hundruð óþekktra geitastíga koma upp.
Við hlið sumra reglna, ef þú ert heppinn, eru athugasemdir „Vasya bað mig um að gera þetta“ eða „Þetta er leið til DMZ. Netstjórinn hættir og allt verður algjörlega óljóst. Þá ákvað einhver að hreinsa stillingar Vasya og SAP hrundi, vegna þess að Vasya bað einu sinni um þennan aðgang til að keyra bardaga SAP.
Í dag mun ég tala um VMware NSX lausnina, sem hjálpar til við að beita netsamskipta- og öryggisstefnu nákvæmlega án ruglings í eldveggsstillingum. Ég mun sýna þér hvaða nýir eiginleikar hafa birst miðað við það sem VMware hafði áður í þessum hluta.
VMWare NSX er sýndar- og öryggisvettvangur fyrir netþjónustu. NSX leysir vandamál varðandi leið, skiptingu, álagsjafnvægi, eldvegg og getur gert marga aðra áhugaverða hluti.
NSX er arftaki VMware eigin vCloud Networking and Security (vCNS) vöru og yfirtekna Nicira NVP.
Frá vCNS til NSX
Áður hafði viðskiptavinur sérstaka vCNS vShield Edge sýndarvél í skýi sem byggt var á VMware vCloud. Það virkaði sem landamæragátt þar sem hægt var að stilla margar netaðgerðir: NAT, DHCP, eldvegg, VPN, álagsjafnvægi o.s.frv. vShield Edge takmarkaði samskipti sýndarvélarinnar við umheiminn samkvæmt reglum sem tilgreindar eru í Eldveggur og NAT. Innan netsins áttu sýndarvélar frjáls samskipti sín á milli innan undirneta. Ef þú vilt virkilega deila og sigra umferð geturðu búið til sérstakt net fyrir einstaka hluta forrita (mismunandi sýndarvélar) og sett viðeigandi reglur um netsamskipti þeirra í eldveggnum. En þetta er langt, erfitt og óáhugavert, sérstaklega þegar þú ert með nokkra tugi sýndarvéla.
Í NSX innleiddi VMware hugmyndina um örskiptingu með því að nota dreifðan eldvegg innbyggðan í hypervisor kjarnann. Það tilgreinir reglur um öryggi og netsamskipti, ekki aðeins fyrir IP og MAC vistföng, heldur einnig fyrir aðra hluti: sýndarvélar, forrit. Ef NSX er notað innan fyrirtækis geta þessir hlutir verið notandi eða hópur notenda úr Active Directory. Hver slíkur hlutur breytist í örhluta í eigin öryggislykkju, í nauðsynlegu undirneti, með sinn eigin notalega DMZ :).
Áður var aðeins eitt öryggisyfirborð fyrir allan auðlindapottinn, varinn með brúnrofa, en með NSX er hægt að vernda sérstaka sýndarvél fyrir óþarfa samskiptum, jafnvel innan sama nets.
Öryggis- og netstefnur aðlagast ef eining flytur yfir á annað net. Til dæmis, ef við færum vél með gagnagrunni í annan nethluta eða jafnvel í aðra tengda sýndargagnaver, þá munu reglurnar sem skrifaðar eru fyrir þessa sýndarvél halda áfram að gilda óháð nýju staðsetningu hennar. Forritaþjónninn mun samt geta átt samskipti við gagnagrunninn.
Brúngáttinni sjálfri, vCNS vShield Edge, hefur verið skipt út fyrir NSX Edge. Það hefur alla herramannseiginleika gamla Edge, auk nokkurra nýrra gagnlegra eiginleika. Við munum ræða þau frekar.
Hvað er nýtt við NSX Edge?
NSX Edge virkni fer eftir NSX. Það eru fimm af þeim: Standard, Professional, Advanced, Enterprise, Plus Remote Branch Office. Allt nýtt og áhugavert er aðeins hægt að sjá frá og með Advanced. Þar á meðal nýtt viðmót, sem, þar til vCloud skiptir algjörlega yfir í HTML5 (VMware lofar sumarið 2019), opnast í nýjum flipa.
Eldveggur. Þú getur valið IP tölur, net, gáttarviðmót og sýndarvélar sem hluti sem reglurnar verða notaðar á.
DHCP. Auk þess að stilla svið IP vistfanga sem verða sjálfkrafa gefin út á sýndarvélar á þessu neti, hefur NSX Edge nú eftirfarandi aðgerðir: Binding и Relay.
Í flipanum Bindingar Þú getur bundið MAC vistfang sýndarvélar við IP tölu ef þú þarft að IP tölu breytist ekki. Aðalatriðið er að þetta IP-tala er ekki innifalið í DHCP lauginni.
Í flipanum Relay miðlun DHCP skilaboða er stillt á DHCP netþjóna sem eru staðsettir utan fyrirtækis þíns í vCloud Director, þar á meðal DHCP netþjóna efnislegra innviða.
Leiðsögn. vShield Edge gat aðeins stillt fasta leið. Kvik leið með stuðningi við OSPF og BGP samskiptareglur birtist hér. ECMP (Active-active) stillingar eru einnig orðnar tiltækar, sem þýðir virka virka bilun í líkamlega beina.
Setja upp OSPF
Uppsetning BGP
Annað nýtt er að setja upp flutning leiða á milli mismunandi samskiptareglur,
endurúthlutun leiða.
L4/L7 hleðslujafnari. X-Forwarded-For var kynnt fyrir HTTPs hausnum. Allir grétu án hans. Til dæmis ertu með vefsíðu sem þú ert að koma jafnvægi á. Án þess að áframsenda þennan haus virkar allt, en í tölfræði vefþjónsins sástu ekki IP gestanna heldur IP jafnvægisbúnaðarins. Nú er allt rétt.
Einnig á flipanum Umsóknarreglur geturðu nú bætt við forskriftum sem munu stjórna umferðarjafnvægi beint.
vpn. Auk IPSec VPN styður NSX Edge:
- L2 VPN, sem gerir þér kleift að teygja net á milli landfræðilega dreifðra vefsvæða. Slíkt VPN er til dæmis nauðsynlegt svo að sýndarvélin haldist í sama undirneti þegar hún er flutt á aðra síðu og heldur IP tölu sinni.
- SSL VPN Plus, sem gerir notendum kleift að tengjast fjartengingu við fyrirtækjanet. Á vSphere stigi var slík aðgerð, en fyrir vCloud Director er þetta nýjung.
SSL vottorð. Nú er hægt að setja upp vottorð á NSX Edge. Þetta kemur aftur að spurningunni um hver þurfti jafnvægistæki án vottorðs fyrir https.
Hópur hlutum. Í þessum flipa eru hópar af hlutum tilgreindir sem ákveðnar netsamskiptareglur munu gilda um, til dæmis eldveggsreglur.
Þessir hlutir geta verið IP og MAC vistföng.
Það er líka listi yfir þjónustu (samskiptareglur og tengi) og forrit sem hægt er að nota þegar eldveggreglur eru búnar til. Aðeins stjórnandi vCD gáttarinnar getur bætt við nýjum þjónustum og forritum.
Tölfræði. Tölfræði um tengingar: umferð sem fer í gegnum gátt, eldvegg og jafnvægisbúnað.
Staða og tölfræði fyrir hvert IPSEC VPN og L2 VPN göng.
Skógarhögg. Í Edge Settings flipanum geturðu stillt þjóninn fyrir upptöku annála. Skráning virkar fyrir DNAT/SNAT, DHCP, eldvegg, leið, jafnvægisbúnað, IPsec VPN, SSL VPN Plus.
Eftirfarandi tegundir viðvarana eru fáanlegar fyrir hvern hlut/þjónustu:
-Kemba
-Viðvörun
— Gagnrýnið
- Villa
-Viðvörun
— Takið eftir
— Upplýsingar
NSX Edge Mál
Það fer eftir verkefnum sem verið er að leysa og magni VMware búðu til NSX Edge í eftirfarandi stærðum:
NSX Edge
(Líkur)
NSX Edge
(Stór)
NSX Edge
(Quad-Large)
NSX Edge
(X-Large)
vCPU
1
2
4
6
Minni
512MB
1GB
1GB
8GB
Disk
512MB
512MB
512MB
4.5GB + 4GB
Skipun
Einn
umsókn, próf
gagnaver
Lítil
eða meðaltal
gagnaver
Hlaðinn
eldvegg
Jafnvægi
álag á stigi L7
Hér að neðan í töflunni eru rekstrarmælingar netþjónustu eftir stærð NSX Edge.
NSX Edge
(Líkur)
NSX Edge
(Stór)
NSX Edge
(Quad-Large)
NSX Edge
(X-Large)
Tengi
10
10
10
10
Undirviðmót (trunk)
200
200
200
200
NAT reglur
2,048
4,096
4,096
8,192
ARP færslur
Þangað til yfirskrifa
1,024
2,048
2,048
2,048
FW reglur
2000
2000
2000
2000
FW árangur
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP laugar
20,000
20,000
20,000
20,000
ECMP slóðir
8
8
8
8
Stöðugar leiðir
2,048
2,048
2,048
2,048
LB Laugar
64
64
64
1,024
LB sýndarþjónar
64
64
64
1,024
LB netþjónn/sundlaug
32
32
32
32
LB Heilbrigðiseftirlit
320
320
320
3,072
Umsóknarreglur LB
4,096
4,096
4,096
4,096
L2VPN viðskiptavinamiðstöð til að tala
5
5
5
5
L2VPN net fyrir hvern viðskiptavin/þjón
200
200
200
200
IPSec göng
512
1,600
4,096
6,000
SSLVPN göng
50
100
100
1,000
SSLVPN einkanet
16
16
16
16
Samhliða fundur
64,000
1,000,000
1,000,000
1,000,000
Sessions/Second
8,000
50,000
50,000
50,000
LB gegnumstreymi L7 umboð)
2.2Gbps
2.2Gbps
3Gbps
LB afköst L4 ham)
6Gbps
6Gbps
6Gbps
LB tengingar/s (L7 umboð)
46,000
50,000
50,000
LB samhliða tengingar (L7 umboð)
8,000
60,000
60,000
LB tengingar/s (L4 ham)
50,000
50,000
50,000
LB samhliða tengingar (L4 ham)
600,000
1,000,000
1,000,000
BGP leiðir
20,000
50,000
250,000
250,000
BGP nágrannar
10
20
100
100
BGP leiðum endurdreift
No Limit
No Limit
No Limit
No Limit
OSPF leiðir
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF Adjacencies
10
20
40
40
OSPF leiðum endurdreift
2000
5000
20,000
20,000
Heildarleiðir
20,000
50,000
250,000
250,000
→
Taflan sýnir að mælt er með því að skipuleggja jafnvægi á NSX Edge fyrir afkastamikil atburðarás sem byrjar aðeins frá Large stærð.
Það er allt sem ég á í dag. Í eftirfarandi hlutum mun ég fara ítarlega í gegnum hvernig á að stilla hverja NSX Edge netþjónustu.
Heimild: www.habr.com