VMware NSX לקטנטנים. חלק 1

אם אתה מסתכל על התצורה של חומת אש כלשהי, סביר להניח שנראה גיליון עם חבורה של כתובות IP, יציאות, פרוטוקולים ורשתות משנה. כך מיושמת באופן קלאסי מדיניות אבטחת רשת עבור גישת משתמשים למשאבים. בהתחלה הם מנסים לשמור על סדר בתצורה, אבל אז העובדים מתחילים לעבור ממחלקה למחלקה, השרתים מתרבים ומשנים את התפקידים שלהם, גישה לפרויקטים שונים מופיעה במקום שבדרך כלל אסור להם, ומאות שבילי עיזים לא ידועים צצים.

לצד כמה כללים, אם יש לך מזל, יש הערות "ואסיה ביקשה ממני לעשות את זה" או "זהו מעבר ל-DMZ." מנהל הרשת מתנתק, והכל הופך לא ברור לחלוטין. ואז מישהו החליט לנקות את התצורה של Vasya, ו-SAP קרס, כי Vasya ביקש פעם את הגישה הזו כדי להפעיל את SAP הקרבי.

היום אדבר על פתרון VMware NSX, שעוזר ליישם במדויק מדיניות תקשורת ואבטחה ברשת ללא בלבול בתצורות חומת האש. אני אראה לך אילו תכונות חדשות הופיעו בהשוואה למה שהיה ל-VMware בעבר בחלק זה.

VMWare NSX היא פלטפורמת וירטואליזציה ואבטחה לשירותי רשת. NSX פותר בעיות של ניתוב, מיתוג, איזון עומסים, חומת אש ויכול לעשות עוד הרבה דברים מעניינים.

NSX הוא היורש של מוצר vCloud Networking and Security (vCNS) משל VMware ושל Nicira NVP הנרכשת.

מ-vCNS ל-NSX

בעבר, ללקוח היה מכונה וירטואלית נפרדת vCNS vShield Edge בענן שנבנה על VMware vCloud. הוא פעל כשער גבול, שבו ניתן היה להגדיר פונקציות רשת רבות: NAT, DHCP, Firewall, VPN, מאזן עומסים וכו'. vShield Edge הגביל את האינטראקציה של המכונה הוירטואלית עם העולם החיצון בהתאם לכללים המפורטים ב- חומת אש ו-NAT. בתוך הרשת, מכונות וירטואליות תקשרו ביניהן בחופשיות בתוך רשתות משנה. אם אתה באמת רוצה לחלק ולכבוש תעבורה, אתה יכול ליצור רשת נפרדת לחלקים בודדים של יישומים (מכונות וירטואליות שונות) ולהגדיר בחומת האש את הכללים המתאימים לאינטראקציה שלהם ברשת. אבל זה ארוך, קשה ולא מעניין, במיוחד כשיש לך כמה עשרות מכונות וירטואליות.

ב-NSX, VMware הטמיעה את הרעיון של מיקרו-פילוח באמצעות חומת אש מבוזרת המובנית בליבת ה-Hypervisor. הוא מפרט מדיניות אבטחה ואינטראקציה ברשת לא רק עבור כתובות IP ו-MAC, אלא גם עבור אובייקטים אחרים: מכונות וירטואליות, יישומים. אם NSX נפרס בתוך ארגון, אובייקטים אלה יכולים להיות משתמש או קבוצת משתמשים מ- Active Directory. כל אובייקט כזה הופך למיקרו-קטע בלולאת אבטחה משלו, ברשת המשנה הנדרשת, עם DMZ נעים משלו :).

בעבר, היה רק ​​היקף אבטחה אחד לכל מאגר המשאבים, מוגן על ידי מתג קצה, אבל עם NSX אתה יכול להגן על מכונה וירטואלית נפרדת מפני אינטראקציות מיותרות, אפילו בתוך אותה רשת.

מדיניות האבטחה והרשת מותאמת אם ישות עוברת לרשת אחרת. לדוגמה, אם נעביר מכונה עם מסד נתונים לפלח רשת אחר או אפילו למרכז נתונים וירטואלי מחובר אחר, אזי הכללים שנכתבו עבור מכונה וירטואלית זו ימשיכו לחול ללא קשר למיקומה החדש. שרת היישומים עדיין יוכל לתקשר עם מסד הנתונים.

שער הקצה עצמו, vCNS vShield Edge, הוחלף ב-NSX Edge. יש לו את כל התכונות הג'נטלמניות של ה-Edge הישן, בתוספת כמה תכונות שימושיות חדשות. עוד נדבר עליהם.

מה חדש ב-NSX Edge?

הפונקציונליות של NSX Edge תלויה מַהֲדוּרָה NSX. ישנם חמישה מהם: Standard, Professional, Advanced, Enterprise, Plus Remote Branch Office. כל דבר חדש ומעניין ניתן לראות רק החל מ-Advanced. כולל ממשק חדש, שעד ש-vCloud יעבור לחלוטין ל-HTML5 (VMware מבטיחה קיץ 2019), נפתח בלשונית חדשה.

חומת אש. אתה יכול לבחור כתובות IP, רשתות, ממשקי שער ומכונות וירטואליות כאובייקטים שעליהם יחולו הכללים.

DHCP בנוסף לקביעת התצורה של טווח כתובות ה-IP שיונפקו אוטומטית למכונות וירטואליות ברשת זו, ל-NSX Edge יש כעת את הפונקציות הבאות: עקידה и ממסר.

בכרטיסייה כריכות אתה יכול לאגד את כתובת ה-MAC של מחשב וירטואלי לכתובת IP אם אתה צריך שכתובת ה-IP לא תשתנה. העיקר שכתובת ה-IP הזו לא כלולה במאגר ה-DHCP.

בכרטיסייה ממסר ממסר הודעות DHCP מוגדר לשרתי DHCP הממוקמים מחוץ לארגון שלך ב-vCloud Director, כולל שרתי DHCP של התשתית הפיזית.

ניתוב. vShield Edge יכול להגדיר רק ניתוב סטטי. ניתוב דינמי עם תמיכה בפרוטוקולי OSPF ו-BGP הופיע כאן. הגדרות ECMP (Active-active) הפכו גם כן לזמינות, מה שאומר מעבר כשל אקטיבי לנתבים פיזיים.

הגדרת OSPF

הגדרת BGP

דבר חדש נוסף הוא הגדרת העברת מסלולים בין פרוטוקולים שונים,
חלוקה מחדש של המסלול.

מאזן עומסים L4/L7. X-Forwarded-For הוצג עבור כותרת HTTPs. כולם בכו בלעדיו. לדוגמה, יש לך אתר שאתה מאזן. בלי להעביר את הכותרת הזו הכל עובד, אבל בסטטיסטיקה של שרת האינטרנט ראית לא את ה-IP של המבקרים, אלא את ה-IP של המאזן. עכשיו הכל בסדר.

כמו כן, בלשונית יישום כללי ניתן כעת להוסיף סקריפטים שישלטו ישירות באיזון התעבורה.

VPNs. בנוסף ל-IPSec VPN, NSX Edge תומך ב:

• L2 VPN, המאפשר למתוח רשתות בין אתרים מפוזרים גיאוגרפית. יש צורך ב-VPN כזה, למשל, כדי שבעת מעבר לאתר אחר, המכונה הוירטואלית תישאר באותה תת-רשת ושומרת על כתובת ה-IP שלה.

• SSL VPN Plus, המאפשר למשתמשים להתחבר מרחוק לרשת ארגונית. ברמת vSphere הייתה פונקציה כזו, אבל עבור vCloud Director זה חידוש.

תעודות SSL. כעת ניתן להתקין תעודות ב-NSX Edge. זה שוב מגיע לשאלה מי היה צריך מאזן ללא תעודה ל-https.

קיבוץ אובייקטים. בלשונית זו, מצוינות קבוצות של אובייקטים שעליהם יחולו כללי אינטראקציה מסוימים ברשת, למשל חוקי חומת אש.

אובייקטים אלה יכולים להיות כתובות IP ו-MAC.

 


יש גם רשימה של שירותים (שילוב פרוטוקול-יציאות) ויישומים שבהם ניתן להשתמש בעת יצירת חוקי חומת אש. רק מנהל פורטל vCD יכול להוסיף שירותים ויישומים חדשים.

 


סטָטִיסטִיקָה. סטטיסטיקות חיבור: תעבורה שעוברת דרך השער, חומת האש והאיזון.

סטטוס וסטטיסטיקה עבור כל IPSEC VPN ו-L2 VPN מנהרה.

רישום. בכרטיסייה Edge Settings, אתה יכול להגדיר את השרת להקלטת יומנים. רישום עובד עבור DNAT/SNAT, DHCP, חומת אש, ניתוב, איזון, IPsec VPN, SSL VPN Plus.
 
סוגי ההתראות הבאים זמינים עבור כל אובייקט/שירות:

-לנפות
-עֵרָנִי
-קריטי
- שגיאה
- אזהרה
- הודעה
- מידע

מידות NSX Edge

תלוי במשימות שנפתרות ובנפח של VMware ממליצה צור NSX Edge בגדלים הבאים:

NSX Edge
(קוֹמפָּקטִי)

NSX Edge
(גָדוֹל)

NSX Edge
(Quad-Large)

NSX Edge
(אקסטרה לארג)

vCPU

1

2

4

6

זכרון

512MB

1GB

1GB

8GB

דיסק

512MB

512MB

512MB

4.5GB + 4GB

פגישה

אחד
יישום, מבחן
מרכז הנתונים

קטן
או ממוצע
מרכז הנתונים

עמוס
חומת אש

מְאַזֵן
עומסים ברמה L7

למטה בטבלה מוצגים מדדי התפעול של שירותי רשת בהתאם לגודל NSX Edge.

NSX Edge
(קוֹמפָּקטִי)

NSX Edge
(גָדוֹל)

NSX Edge
(Quad-Large)

NSX Edge
(אקסטרה לארג)

ממשקים

10

10

10

10

ממשקי משנה (מטען)

200

200

200

200

כללי NAT

2,048

4,096

4,096

8,192

ערכי ARP
עד להחלפה

1,024

2,048

2,048

2,048

חוקי FW

2000

2000

2000

2000

ביצועי FW

3Gbps

9.7Gbps

9.7Gbps

9.7Gbps

בריכות DHCP

20,000

20,000

20,000

20,000

נתיבי ECMP

8

8

8

8

מסלולים סטטיים

2,048

2,048

2,048

2,048

בריכות LB

64

64

64

1,024

שרתים וירטואליים של LB

64

64

64

1,024

שרת/בריכה LB

32

32

32

32

בדיקות בריאות LB

320

320

320

3,072

כללי יישום LB

4,096

4,096

4,096

4,096

רכזת לקוחות L2VPN לדיבור

5

5

5

5

רשתות L2VPN לכל לקוח/שרת

200

200

200

200

מנהרות IPSec

512

1,600

4,096

6,000

מנהרות SSLVPN

50

100

100

1,000

SSLVPN רשתות פרטיות

16

16

16

16

מושבים במקביל

64,000

1,000,000

1,000,000

1,000,000

מפגשים/שנייה

8,000

50,000

50,000

50,000

LB תפוקה L7 Proxy)

2.2Gbps

2.2Gbps

3Gbps

LB תפוקה L4 מצב)

6Gbps

6Gbps

6Gbps

LB Connections/s (L7 Proxy)

46,000

50,000

50,000

LB חיבורים במקביל (L7 Proxy)

8,000

60,000

60,000

LB חיבורים/ים (מצב L4)

50,000

50,000

50,000

LB חיבורים במקביל (מצב L4)

600,000

1,000,000

1,000,000

מסלולי BGP

20,000

50,000

250,000

250,000

BGP שכנים

10

20

100

100

נתיבי BGP מופצים מחדש

נו לימיט

נו לימיט

נו לימיט

נו לימיט

נתיבי OSPF

20,000

50,000

100,000

100,000

OSPF LSA Entries Max 750 Type-1

20,000

50,000

100,000

100,000

OSPF Adjacencies

10

20

40

40

נתיבי OSPF מופצים מחדש

2000

5000

20,000

20,000

סך הכל מסלולים

20,000

50,000

250,000

250,000

→ מקור

הטבלה מראה שמומלץ לארגן איזון ב-NSX Edge עבור תרחישים פרודוקטיביים רק החל מגודל Large.

זה כל מה שיש לי להיום. בחלקים הבאים אעבור בפירוט כיצד להגדיר כל שירות רשת NSX Edge.

מקור: www.habr.com