小さなお子様向けの VMware NSX。 パート1

ファイアウォールの設定を見ると、IP アドレス、ポート、プロトコル、サブネットが多数記載されたシートが表示されるはずです。これは、リソースへのユーザー アクセスに関するネットワーク セキュリティ ポリシーが従来実装される方法です。最初は構成の秩序を維持しようとしますが、その後、従業員が部門間を移動し始め、サーバーが増加して役割が変わり、通常は許可されていないさまざまなプロジェクトへのアクセスが発生し、何百もの未知のヤギパスが取得されます。

運が良ければ、いくつかのルールの近くに「Vasya がこれをするように頼んだ」や「これは DMZ への通路です」などのコメントがあります。ネットワーク管理者が辞めてしまい、すべてが完全に不明瞭になります。その後、誰かが Vasya から構成を消去することを決定し、SAP がクラッシュしました。これは、Vasya が戦闘 SAP で動作するためにこのアクセスを要求したためです。

今日は、ファイアウォール構成の混乱なしにネットワークとセキュリティ ポリシーを正確に適用するのに役立つ VMware NSX ソリューションについて説明します。この分野で VMware がこれまで提供していた機能と比較して、どのような新機能が登場したかを紹介します。

VMWare NSX は、ネットワーク サービスの仮想化とセキュリティのためのプラットフォームです。 NSX は、ルーティング、スイッチング、負荷分散、ファイアウォールの問題を解決し、その他多くの興味深いことを行うことができます。

NSX は、VMware 独自の vCloud Networking and Security (vCNS) 製品と Nicira 買収による NVP の後継です。

vCNSからNSXへ

以前、顧客は VMware vCloud 上に構築されたクラウド内に別の vCNS vShield Edge 仮想マシンを所有していました。これは、NAT、DHCP、ファイアウォール、VPN、ロード バランサなどの多くのネットワーク機能を構成できる境界ゲートウェイとして機能しました。vShield Edge は、ファイアウォールと NAT で指定されたルールに従って、仮想マシンと外部とのやり取りを制限しました。ネットワーク内では、仮想マシンはサブネット内で自由に相互に通信しました。トラフィックを分割して制御したい場合は、アプリケーションの個々の部分 (異なる仮想マシン) ごとに個別のネットワークを作成し、ファイアウォールでそれらのネットワーク相互作用に対応するルールを記述することができます。しかし、特に数十台の仮想マシンがある場合、それは長くて複雑で面白くありません。

NSX では、VMware はハイパーバイザー カーネルに組み込まれた分散ファイアウォールを使用してマイクロセグメンテーションの概念を実装しました。 IP アドレスと MAC アドレスだけでなく、仮想マシン、アプリケーションなどの他のオブジェクトに対してもセキュリティとネットワーク相互作用のポリシーを指定します。 NSX が組織内に展開されている場合、これらのオブジェクトは Active Directory のユーザーまたはユーザー グループになります。このような各オブジェクトは、独自のセキュリティ コンター、必要なサブネット、独自の快適な DMZ を持つマイクロ セグメントになります :)。

これまで、セキュリティ境界はリソース プール全体に対して 1 つであり、エッジ スイッチによって保護されていましたが、NSX を使用すると、同じネットワーク内でも個々の仮想マシンを不要な相互作用から保護できます。

オブジェクトが別のネットワークに移動すると、セキュリティとネットワーク ポリシーが適応されます。たとえば、データベースを含むマシンを別のネットワーク セグメントに移動したり、接続された別の仮想データ センターに移動したりすると、この仮想マシンに定義されたルールは、新しい場所に関係なく引き続き適用されます。アプリケーション サーバーは引き続きデータベースと対話できます。

vCNS vShield Edge エッジ ゲートウェイ自体は NSX Edge に置き換えられました。旧 Edge のすべての機能に加え、いくつかの便利な新機能も備わっています。それらについては後ほどお話しします。

NSX Edge の新機能は何ですか?

NSX Edgeの機能は以下に依存します 版 NSX。これらは、Standard、Professional、Advanced、Enterprise、Plus Remote Branch Office の 5 つです。新しい興味深いものはすべて、Advanced からのみ見ることができます。新しいインターフェイスが含まれており、vCloud が HTML2019 に完全に切り替えるまで (VMware は XNUMX 年夏に予定)、新しいタブで開きます。

ファイアウォール。 ルールを適用するオブジェクトとして、IP アドレス、ネットワーク、ゲートウェイ インターフェイス、仮想マシンを選択できます。

DHCP。 このネットワーク上の仮想マシンに自動的に割り当てられるIPアドレスの範囲を設定することに加えて、NSX Edgeには次のような機能が追加されました。 バインディング и リレー.

タブ内 バインディング IP アドレスを変更しない場合は、仮想マシンの MAC アドレスを IP アドレスにバインドできます。重要なのは、この IP アドレスが DHCP プールに含まれていないことです。

タブ内 リレー 物理インフラストラクチャ上の DHCP サーバーを含む、vCloud Director 組織の外部にある DHCP サーバーへの DHCP メッセージのリレーを構成します。

ルーティング。 vShield Edge では静的ルーティングのみを構成できます。 OSPF および BGP プロトコルをサポートする動的ルーティングがここに登場しました。物理ルーター上でのアクティブ-アクティブ フェイルオーバーを意味する ECMP (アクティブ-アクティブ) 設定も利用可能になりました。

OSPFの設定

BGP の設定

もう一つの新機能は、異なるプロトコル間のルート伝送の構成です。
ルートの再配布。

L4/L7 ロード バランサー。 HTTPs ヘッダーに X-Forwarded-For が導入されました。彼がいなければ、誰もが泣いてしまう。たとえば、バランス調整を行っているサイトがあるとします。このヘッダーを転送しなくても、すべては機能しますが、Web サーバーの統計情報には、訪問者の IP ではなく、バランサーの IP が表示されます。今はすべて正常です。

また、[アプリケーション ルール] タブでは、トラフィック バランシングを直接制御するスクリプトを追加できるようになりました。

VPN NSX Edge は、IPSec VPN に加えて、以下をサポートします。

• 地理的に分散したサイト間でネットワークを拡張できる L2 VPN。このような VPN は、たとえば、別のサイトに移動するときに仮想マシンが同じサブネット内に留まり、IP アドレスを保持する場合に必要です。

• SSL VPN Plus を使用すると、ユーザーは企業ネットワークにリモートで接続できます。 vSphere レベルではこのような機能が存在していましたが、vCloud Director ではこれは新しい機能です。

SSL 証明書。 NSX Edge を証明書を使用してプロビジョニングできるようになりました。これは再び、https の証明書のないバランサーを誰が必要としたかという疑問に戻ります。

オブジェクトのグループ化。 このタブでは、ファイアウォール ルールなど、特定のネットワーク相互作用ルールが適用されるオブジェクト グループを指定します。

これらのオブジェクトは IP アドレスと MAC アドレスになります。

 


また、ファイアウォール ルールを作成するときに使用できるサービス (プロトコルとポートの組み合わせ) とアプリケーションのリストも提供します。新しいサービスとアプリケーションを追加できるのは、vCD ポータル管理者だけです。

 


統計 接続統計: ゲートウェイ、ファイアウォール、バランサーを通過するトラフィック。

各 IPSEC VPN および L2 VPN トンネルのステータスと統計。

ログ記録。 「エッジ設定」タブでは、ログを記録するサーバーを設定できます。ログ記録は、DNAT/SNAT、DHCP、ファイアウォール、ルーティング、バランサー、IPsec VPN、SSL VPN Plus で機能します。
 
各オブジェクト/サービスには次の種類の通知が利用できます。

— デバッグ
— 警告
- 致命的
- エラー
- 警告
- 知らせ
- 情報

NSX エッジの寸法

解決すべきタスクとVMwareのボリュームに応じて お勧め 次のサイズの NSX Edge を作成します。

NSX エッジ
（コンパクト）

NSX エッジ
（大）

NSX エッジ
(4面大)

NSX エッジ
(特大)

vCPU

1

2

4

6

メモリ

512MB

1GB

1GB

8GB

ディスク

512MB

512MB

512MB

4.5GB + 4GB

任命

1つ
アプリケーション、テスト
データセンター

小さい
または平均
データセンター

ロード済み
ファイアウォール

バランス調整
L7レベルの負荷

以下の表は、NSX Edge のサイズに基づいたネットワーク サービスのパフォーマンス メトリックを示しています。

NSX エッジ
（コンパクト）

NSX エッジ
（大）

NSX エッジ
(4面大)

NSX エッジ
(特大)

インターフェース

10

10

10

10

サブインターフェース（トランク）

200

200

200

200

NATルール

2,048

4,096

4,096

8,192

ARPエントリ
上書きするまで

1,024

2,048

2,048

2,048

FWルール

2000

2000

2000

2000

FWパフォーマンス

3Gbps

9.7Gbps

9.7Gbps

9.7Gbps

DHCP プール

20,000

20,000

20,000

20,000

ECMP パス

8

8

8

8

静的ルート

2,048

2,048

2,048

2,048

LB プール

64

64

64

1,024

LB 仮想サーバー

64

64

64

1,024

LB サーバー / プール

32

32

32

32

LB ヘルスチェック

320

320

320

3,072

LB アプリケーションルール

4,096

4,096

4,096

4,096

L2VPN クライアント ハブからスポーク

5

5

5

5

クライアント/サーバーあたりの L2VPN ネットワーク

200

200

200

200

IPSec トンネル

512

1,600

4,096

6,000

SSLVPN トンネル

50

100

100

1,000

SSLVPN プライベートネットワーク

16

16

16

16

同時セッション

64,000

1,000,000

1,000,000

1,000,000

セッション/秒

8,000

50,000

50,000

50,000

LB スループット L7 プロキシ)

2.2Gbps

2.2Gbps

3Gbps

LB スループット L4 モード)

6Gbps

6Gbps

6Gbps

LB 接続数/秒 (L7 プロキシ)

46,000

50,000

50,000

LB 同時接続 (L7 プロキシ)

8,000

60,000

60,000

LB 接続数/秒 (L4 モード)

50,000

50,000

50,000

LB 同時接続数 (L4 モード)

600,000

1,000,000

1,000,000

BGPルート

20,000

50,000

250,000

250,000

BGP ネイバー

10

20

100

100

BGPルートの再配布

制限なし

制限なし

制限なし

制限なし

OSPFルート

20,000

50,000

100,000

100,000

OSPF LSA エントリ最大 750 タイプ 1

20,000

50,000

100,000

100,000

OSPF隣接関係

10

20

40

40

OSPFルートの再配布

2000

5000

20,000

20,000

合計ルート

20,000

50,000

250,000

250,000

→ ソース

表は、本番環境のシナリオでは、Large サイズからのみ NSX Edge でバランス調整を行うことが推奨されていることを示しています。

今日はこれで終わりです。次の部分では、各 NSX Edge ネットワーク サービスの構成について詳しく説明します。

出所： habr.com