Yen sampeyan ndeleng konfigurasi firewall apa wae, mesthine kita bakal weruh lembaran kanthi pirang-pirang alamat IP, port, protokol lan subnet. Iki minangka kabijakan keamanan jaringan kanggo akses pangguna menyang sumber daya sing ditindakake kanthi klasik. Ing kawitan padha nyoba kanggo njaga supaya ing config, nanging banjur karyawan wiwiti pindhah saka departemen kanggo departemen, server Multiply lan ngganti peran, akses kanggo proyèk beda katon ngendi padha biasane ora diijini, lan atusan dalan wedhus dingerteni muncul.
Ing jejere sawetara aturan, yen sampeyan lagi bejo, ana komentar "Vasya njaluk aku nindakake iki" utawa "Iki minangka wacana menyang DMZ." Administrator jaringan mandheg, lan kabeh dadi ora jelas. Banjur ana wong sing mutusake kanggo mbusak konfigurasi Vasya, lan SAP nabrak, amarga Vasya tau njaluk akses iki kanggo mbukak SAP pertempuran.
Dina iki aku bakal ngomong babagan solusi VMware NSX, sing mbantu ngetrapake kabijakan komunikasi lan keamanan jaringan kanthi tepat tanpa bingung ing konfigurasi firewall. Aku bakal nuduhake sampeyan fitur-fitur anyar sing katon dibandhingake karo VMware sadurunge ing bagean iki.
VMWare NSX minangka platform virtualisasi lan keamanan kanggo layanan jaringan. NSX ngatasi masalah rute, ngoper, load balancing, firewall lan bisa nindakake akeh perkara liyane sing menarik.
NSX minangka penerus produk vCloud Networking and Security (vCNS) VMware lan NVP Nicira sing dituku.
Saka vCNS kanggo NSX
Sadurunge, klien duwe mesin virtual vCNS vShield Edge sing kapisah ing awan sing dibangun ing VMware vCloud. Iku tumindak minangka gateway wewatesan, ngendi iku bisa kanggo ngatur akeh fungsi jaringan: NAT, DHCP, Firewall, VPN, load balancer, etc vShield Edge mbatesi interaksi mesin virtual karo donya njaba miturut aturan kasebut ing Firewall lan NAT. Ing jaringan, mesin virtual bisa komunikasi kanthi bebas ing subnet. Yen pancene pengin dibagi lan nelukake lalu lintas, sampeyan bisa nggawe jaringan kapisah kanggo bagean individu saka aplikasi (mesin virtual beda) lan nyetel aturan cocok kanggo interaksi jaringan ing firewall. Nanging iki dawa, angel lan ora menarik, utamane yen sampeyan duwe sawetara rolas mesin virtual.
Ing NSX, VMware ngetrapake konsep segmen mikro nggunakake firewall sing disebarake ing kernel hypervisor. Iki nemtokake keamanan lan kabijakan interaksi jaringan ora mung kanggo alamat IP lan MAC, nanging uga kanggo obyek liyane: mesin virtual, aplikasi. Yen NSX disebarake ing organisasi, obyek kasebut bisa dadi pangguna utawa klompok pangguna saka Active Directory. Saben obyek kasebut dadi microsegment ing daur ulang keamanan dhewe, ing subnet sing dibutuhake, kanthi DMZ sing nyaman :).
Sadurunge, mung ana siji keliling keamanan kanggo kabeh blumbang sumber daya, dilindhungi dening ngalih pinggiran, nanging karo NSX sampeyan bisa nglindhungi mesin virtual kapisah saka interaksi rasah, malah ing jaringan sing padha.
Kabijakan keamanan lan jaringan adaptasi yen entitas pindhah menyang jaringan sing beda. Contone, yen kita mindhah mesin karo database kanggo bagean jaringan liyane utawa malah menyang pusat data virtual liyane disambungake, banjur aturan ditulis kanggo mesin virtual iki bakal terus kanggo aplikasi preduli saka lokasi anyar. Server aplikasi isih bakal bisa komunikasi karo database.
Gerbang pinggiran dhewe, vCNS vShield Edge, wis diganti dening NSX Edge. Wis kabeh fitur gentlemanly saka Edge lawas, plus sawetara fitur migunani anyar. Kita bakal ngomong babagan dheweke luwih lanjut.
Apa anyar karo NSX Edge?
NSX Edge fungsi gumantung ing NSX. Ana lima: Standard, Professional, Advanced, Enterprise, Plus Kantor Cabang Jarak Jauh. Kabeh sing anyar lan menarik bisa dideleng mung diwiwiti karo Advanced. Kalebu antarmuka anyar, sing, nganti vCloud rampung ngalih menyang HTML5 (VMware janji musim panas 2019), mbukak ing tab anyar.
Firewall Sampeyan bisa milih alamat IP, jaringan, antarmuka gateway, lan mesin virtual minangka obyek sing bakal diterapake aturan kasebut.
DHCP Saliyane ngonfigurasi sawetara alamat IP sing bakal diwenehake kanthi otomatis menyang mesin virtual ing jaringan iki, NSX Edge saiki nduweni fungsi ing ngisor iki: naleni ΠΈ Relay.
Ing tab Bindings Sampeyan bisa ngubungake alamat MAC mesin virtual menyang alamat IP yen sampeyan butuh alamat IP supaya ora diganti. Sing utama yaiku alamat IP iki ora kalebu ing Pool DHCP.
Ing tab Relay relay pesen DHCP dikonfigurasi menyang server DHCP sing ana ing njaba organisasi sampeyan ing Direktur vCloud, kalebu server DHCP saka infrastruktur fisik.
Routing. vShield Edge mung bisa ngatur rute statis. Nuntun dinamis kanthi dhukungan kanggo protokol OSPF lan BGP katon ing kene. Setelan ECMP (Aktif-aktif) uga kasedhiya, tegese failover aktif-aktif kanggo router fisik.
Nyetel OSPF
Nggawe BGP
Bab anyar liyane yaiku nyetel transfer rute ing antarane protokol sing beda-beda,
redistribusi rute.
L4 / L7 Load Balancer. X-Forwarded-For dikenalakΓ© kanggo header HTTPs. Kabeh wong nangis tanpa dheweke. Contone, sampeyan duwe situs web sing diimbangi. Tanpa nerusake header iki, kabeh bisa digunakake, nanging ing statistik server web sampeyan ora weruh IP pengunjung, nanging IP balancer. Saiki kabeh wis bener.
Uga ing tab Aturan Aplikasi saiki sampeyan bisa nambah skrip sing bakal langsung ngontrol imbangan lalu lintas.
VPN Saliyane IPSec VPN, NSX Edge ndhukung:
- L2 VPN, sing ngidini sampeyan nggedhekake jaringan ing antarane situs sing kasebar sacara geografis. VPN kuwi dibutuhake, contone, supaya nalika pindhah menyang situs liyane, mesin virtual tetep ing subnet padha lan nahan alamat IP sawijining.
- SSL VPN Plus, sing ngidini pangguna kanggo nyambung adoh menyang jaringan perusahaan. Ing tingkat vSphere ana fungsi kasebut, nanging kanggo Direktur vCloud iki minangka inovasi.
sertifikat SSL. Sertifikat saiki bisa diinstal ing NSX Edge. Iki maneh teka menyang pitakonan sing mbutuhake balancer tanpa sertifikat kanggo https.
Nglumpukake Obyek. Ing tab iki, klompok obyek ditemtokake sing aturan interaksi jaringan tartamtu bakal ditrapake, contone, aturan firewall.
Objek kasebut bisa dadi alamat IP lan MAC.
Ana uga dhaptar layanan (kombinasi protokol-port) lan aplikasi sing bisa digunakake nalika nggawe aturan firewall. Mung administrator portal vCD sing bisa nambah layanan lan aplikasi anyar.
Statistik. Statistik sambungan: lalu lintas sing liwat gateway, firewall lan balancer.
Status lan statistik kanggo saben IPSEC VPN lan L2 VPN trowongan.
logging. Ing tab Setelan Edge, sampeyan bisa nyetel server kanggo ngrekam log. Logging bisa digunakake kanggo DNAT / SNAT, DHCP, Firewall, routing, balancer, IPsec VPN, SSL VPN Plus.
Jinis tandha ing ngisor iki kasedhiya kanggo saben obyek/layanan:
β Debug
β Tandha
- Kritis
- Kesalahan
βPΓ¨nget
- Kabar
β Info
NSX Ukuran Edge
Gumantung ing tugas sing ditanggulangi lan volume VMware gawe NSX Edge ing ukuran ing ngisor iki:
NSX Edge Kab
(Kompak)
NSX Edge Kab
(Gedhe)
NSX Edge Kab
(Padha Gedhe)
NSX Edge Kab
(X-Gedhe)
vCPU
1
2
4
6
memory
512MB
1GB
1GB
8GB
disk
512MB
512MB
512MB
4.5GB + 4GB
Janjian
siji
aplikasi, tes
pusat data
Cilik
utawa rata-rata
pusat data
dimuat
firewall
Balancing
beban ing tingkat L7
Ing ngisor iki ing tabel ana metrik operasi layanan jaringan gumantung saka ukuran NSX Edge.
NSX Edge Kab
(Kompak)
NSX Edge Kab
(Gedhe)
NSX Edge Kab
(Padha Gedhe)
NSX Edge Kab
(X-Gedhe)
muka
10
10
10
10
Sub Antarmuka (Trunk)
200
200
200
200
Aturan NAT
2,048
4,096
4,096
8,192
Entri ARP
Nganti Nimpa
1,024
2,048
2,048
2,048
Aturan FW
2000
2000
2000
2000
Kinerja FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Kolam DHCP
20,000
20,000
20,000
20,000
Jalur ECMP
8
8
8
8
Rute Statis
2,048
2,048
2,048
2,048
Kolam LB
64
64
64
1,024
Server Virtual LB
64
64
64
1,024
LB Server/Kolam
32
32
32
32
Pemeriksaan Kesehatan LB
320
320
320
3,072
Aturan Aplikasi LB
4,096
4,096
4,096
4,096
Hub Klien L2VPN kanggo Spoke
5
5
5
5
Jaringan L2VPN saben Klien/Server
200
200
200
200
IPSec Tunnels
512
1,600
4,096
6,000
SSLVPN Tunnels
50
100
100
1,000
Jaringan Pribadi SSLVPN
16
16
16
16
Sesi bebarengan
64,000
1,000,000
1,000,000
1,000,000
Sesi / Kapindho
8,000
50,000
50,000
50,000
LB Throughput L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB Throughput Mode L4)
6Gbps
6Gbps
6Gbps
LB Sambungan/s (L7 Proxy)
46,000
50,000
50,000
LB Sambungan bebarengan (L7 Proxy)
8,000
60,000
60,000
Sambungan LB/s (Mode L4)
50,000
50,000
50,000
Sambungan Serempak LB (Mode L4)
600,000
1,000,000
1,000,000
Rute BGP
20,000
50,000
250,000
250,000
BGP Tetangga
10
20
100
100
Rute BGP Redistributed
No Limit
No Limit
No Limit
No Limit
Rute OSPF
20,000
50,000
100,000
100,000
OSPF LSA Entri Max 750 Tipe-1
20,000
50,000
100,000
100,000
OSPF Adjacencies
10
20
40
40
Rute OSPF Redistributed
2000
5000
20,000
20,000
Total Rute
20,000
50,000
250,000
250,000
β
Tabel nuduhake yen dianjurake kanggo ngatur imbangan ing NSX Edge kanggo skenario produktif mung diwiwiti saka ukuran Gedhe.
Mung kuwi sing dakkarepake kanggo dina iki. Ing bagean ing ngisor iki aku bakal rinci babagan carane ngatur saben layanan jaringan NSX Edge.
Source: www.habr.com