小さなお子様向けの VMware NSX。 パート1

ファイアウォールの構成を見ると、多くの場合、IP アドレス、ポート、プロトコル、サブネットが含まれたシートが表示されるでしょう。 これは、リソースへのユーザー アクセスに関するネットワーク セキュリティ ポリシーが従来から実装されている方法です。 最初は構成内の順序を維持しようとしますが、その後、従業員が部門から部門へ移動し始め、サーバーが増加して役割が変わり、通常は許可されていないさまざまなプロジェクトへのアクセスが出現し、何百もの未知のヤギ パスが出現します。

運が良ければいくつかのルールの横に、「Vasya が私にこれをするように頼んだ」または「これは DMZ への通路です」というコメントが表示されます。 ネットワーク管理者は辞めてしまい、すべてが完全に不明瞭になってしまいます。 その後、誰かが Vasya の設定をクリアしようと決定し、SAP がクラッシュしました。これは、Vasya がかつて戦闘用 SAP を実行するためにこのアクセスを要求したためです。

今日は、ファイアウォール構成を混乱させることなく、ネットワーク通信とセキュリティ ポリシーを正確に適用するのに役立つ VMware NSX ソリューションについて説明します。 このパートでは、VMware が以前に備えていたものと比較して、どのような新機能が登場したかを紹介します。

VMWare NSX は、ネットワーク サービス用の仮想化およびセキュリティ プラットフォームです。 NSX はルーティング、スイッチング、ロード バランシング、ファイアウォールの問題を解決し、他にも多くの興味深いことを実行できます。

NSX は、VMware 独自の vCloud Networking and Security (vCNS) 製品および買収した Nicira NVP の後継製品です。

vCNS から NSX へ

以前は、クライアントは VMware vCloud 上に構築されたクラウド内に別の vCNS vShield Edge 仮想マシンを持っていました。 これは境界ゲートウェイとして機能し、NAT、DHCP、ファイアウォール、VPN、ロード バランサーなどの多くのネットワーク機能を構成できました。vShield Edge は、仮想マシンと外部世界とのやり取りを、vShield Edge で指定されたルールに従って制限しました。ファイアウォールとNAT。 ネットワーク内では、仮想マシンはサブネット内で自由に相互に通信しました。 本当にトラフィックを分割して征服したい場合は、アプリケーションの個々の部分 (さまざまな仮想マシン) に別個のネットワークを作成し、ファイアウォールでのネットワーク相互作用に適切なルールを設定できます。 しかし、特に仮想マシンが数十台ある場合、これは長くて難しく、面白くありません。

NSX では、VMware はハイパーバイザー カーネルに組み込まれた分散ファイアウォールを使用してマイクロセグメンテーションの概念を実装しました。 IP アドレスと MAC アドレスだけでなく、仮想マシンやアプリケーションなどの他のオブジェクトのセキュリティとネットワーク相互作用のポリシーも指定します。 NSX が組織内に展開されている場合、これらのオブジェクトは Active Directory のユーザーまたはユーザーのグループである可能性があります。 このような各オブジェクトは、独自の居心地の良い DMZ を持つ、必要なサブネット内の独自のセキュリティ ループ内のマイクロセグメントに変わります:)。

以前は、リソース プール全体に対してセキュリティ境界が XNUMX つだけあり、エッジ スイッチによって保護されていましたが、NSX を使用すると、同じネットワーク内であっても、別の仮想マシンを不必要な対話から保護できます。

エンティティが別のネットワークに移動すると、セキュリティ ポリシーとネットワーク ポリシーが適応されます。 たとえば、データベースのあるマシンを別のネットワーク セグメント、または接続されている別の仮想データ センターに移動した場合、この仮想マシン用に作成されたルールは、新しい場所に関係なく引き続き適用されます。 アプリケーション サーバーは引き続きデータベースと通信できます。

Edge ゲートウェイ自体、vCNS vShield Edge は NSX Edge に置き換えられました。 古い Edge の紳士的な機能がすべて備わっているだけでなく、いくつかの新しい便利な機能も備えています。 それらについてはさらに詳しく説明します。

NSX Edge の新機能は何ですか?

NSX Edge の機能は以下に依存します 版 NSX。 それらには、Standard、Professional、Advanced、Enterprise、Plus Remote Branch Office の 5 つがあります。 新しいものや興味深いものはすべて、Advanced から始めてのみ見ることができます。 新しいインターフェイスが含まれており、vCloud が HTML2019 に完全に切り替わるまで (VMware は XNUMX 年夏に約束)、新しいタブで開きます。

ファイアウォール。 ルールを適用するオブジェクトとして、IP アドレス、ネットワーク、ゲートウェイ インターフェイス、および仮想マシンを選択できます。

DHCP。 このネットワーク上の仮想マシンに自動的に発行される IP アドレスの範囲の構成に加えて、NSX Edge には次の機能が追加されました。 バインディング и リレー.

タブ内 バインディング IP アドレスを変更したくない場合は、仮想マシンの MAC アドレスを IP アドレスにバインドできます。 重要なことは、この IP アドレスが DHCP プールに含まれていないことです。

タブ内 リレー DHCP メッセージのリレーは、vCloud Director で組織の外部にある DHCP サーバー (物理インフラストラクチャの DHCP サーバーを含む) に対して構成されます。

ルーティング。 vShield Edge は静的ルーティングのみを構成できました。 ここでは、OSPF および BGP プロトコルをサポートする動的ルーティングが登場しました。 ECMP (アクティブ-アクティブ) 設定も利用可能になりました。これは、物理ルーターへのアクティブ-アクティブ フェイルオーバーを意味します。

OSPFの設定

BGP の設定

もう XNUMX つの新しいことは、異なるプロトコル間でのルートの転送を設定することです。
ルートの再配布。

L4/L7 ロードバランサー。 X-Forwarded-For が HTTPs ヘッダーに導入されました。 彼がいなくてもみんな泣いた。 たとえば、バランスを調整している Web サイトがあるとします。 このヘッダーを転送しなくてもすべてが機能しますが、Web サーバーの統計には、訪問者の IP ではなく、バランサーの IP が表示されます。 今ではすべてが正しくなりました。

また、[アプリケーション ルール] タブでは、トラフィック バランシングを直接制御するスクリプトを追加できるようになりました。

VPN IPSec VPN に加えて、NSX Edge は以下をサポートします。

• L2 VPN。地理的に分散したサイト間でネットワークを拡張できます。 このような VPN は、たとえば、別のサイトに移動するときに仮想マシンが同じサブネット内に留まり、その IP アドレスを保持できるようにするために必要です。

• SSL VPN Plus: ユーザーが企業ネットワークにリモート接続できるようにします。 vSphere レベルではそのような機能がありましたが、vCloud Director ではこれが革新です。

SSL証明書。 証明書を NSX Edge にインストールできるようになりました。 これは、https の証明書のないバランサーを誰が必要としたのかという問題に再びつながります。

オブジェクトのグループ化。 このタブでは、ファイアウォール ルールなどの特定のネットワーク インタラクション ルールが適用されるオブジェクトのグループが指定されます。

これらのオブジェクトは IP アドレスと MAC アドレスです。

 


ファイアウォール ルールの作成時に使用できるサービス (プロトコルとポートの組み合わせ) とアプリケーションのリストもあります。 新しいサービスとアプリケーションを追加できるのは、vCD ポータル管理者のみです。

 


統計 接続統計: ゲートウェイ、ファイアウォール、バランサーを通過するトラフィック。

各 IPSEC VPN および L2 VPN トンネルのステータスと統計。

ロギング。 [Edge 設定] タブでは、ログを記録するサーバーを設定できます。 ログは DNAT/SNAT、DHCP、ファイアウォール、ルーティング、バランサー、IPsec VPN、SSL VPN Plus で機能します。
 
各オブジェクト/サービスで次のタイプのアラートを使用できます。

-デバッグ
—警告
-致命的
- エラー
- 警告
- 知らせ
- 情報

NSX Edge の寸法

解決するタスクと VMware の量に応じて お勧め 次のサイズで NSX Edge を作成します。

NSX エッジ
（コンパクト）

NSX エッジ
（大）

NSX エッジ
(クワッドラージ)

NSX エッジ
（×ラージ）

vCPU

1

2

4

6

メモリ

512MB

1GB

1GB

8GB

ディスク

512MB

512MB

512MB

4.5GB + 4GB

任命

1つ
アプリケーション、テスト
データセンター

小さい
または平均的な
データセンター

ロード済み
ファイアウォール

バランス調整
レベル L7 での負荷

以下の表は、NSX Edge のサイズに応じたネットワーク サービスの運用メトリックを示しています。

NSX エッジ
（コンパクト）

NSX エッジ
（大）

NSX エッジ
(クワッドラージ)

NSX エッジ
（×ラージ）

インターフェース

10

10

10

10

サブインターフェイス (トランク)

200

200

200

200

NATルール

2,048

4,096

4,096

8,192

ARPエントリ
上書きするまで

1,024

2,048

2,048

2,048

FWルール

2000

2000

2000

2000

FWパフォーマンス

3Gbps

9.7Gbps

9.7Gbps

9.7Gbps

DHCP プール

20,000

20,000

20,000

20,000

ECMP パス

8

8

8

8

静的ルート

2,048

2,048

2,048

2,048

LB プール

64

64

64

1,024

LB 仮想サーバー

64

64

64

1,024

LBサーバー/プール

32

32

32

32

LB ヘルスチェック

320

320

320

3,072

LB申請ルール

4,096

4,096

4,096

4,096

L2VPN クライアントのハブツースポーク

5

5

5

5

クライアント/サーバーごとの L2VPN ネットワーク

200

200

200

200

IPSec トンネル

512

1,600

4,096

6,000

SSLVPN トンネル

50

100

100

1,000

SSLVPNプライベートネットワーク

16

16

16

16

同時セッション

64,000

1,000,000

1,000,000

1,000,000

セッション/秒

8,000

50,000

50,000

50,000

LB スループット L7 プロキシ)

2.2Gbps

2.2Gbps

3Gbps

LB スループット L4 モード)

6Gbps

6Gbps

6Gbps

LB 接続数/秒 (L7 プロキシ)

46,000

50,000

50,000

LB 同時接続 (L7 プロキシ)

8,000

60,000

60,000

LB 接続数/秒 (L4 モード)

50,000

50,000

50,000

LB 同時接続 (L4 モード)

600,000

1,000,000

1,000,000

BGP ルート

20,000

50,000

250,000

250,000

BGP ネイバー

10

20

100

100

BGP ルートの再配布

制限なし

制限なし

制限なし

制限なし

OSPFルート

20,000

50,000

100,000

100,000

OSPF LSA エントリ最大 750 タイプ 1

20,000

50,000

100,000

100,000

OSPF隣接関係

10

20

40

40

OSPF ルートの再配布

2000

5000

20,000

20,000

総ルート数

20,000

50,000

250,000

250,000

→ ソース

この表は、生産的なシナリオでは、大サイズからのみ NSX Edge でバランスを調整することを推奨することを示しています。

今日はこれで終わりです。 次のパートでは、各 NSX Edge ネットワーク サービスを構成する方法を詳しく説明します。

出所： habr.com