Егер сіз кез келген брандмауэрдің конфигурациясын қарасаңыз, онда біз IP мекенжайларының, порттардың, протоколдардың және ішкі желілердің жиынтығы бар парақты көреміз. Пайдаланушылардың ресурстарға қол жеткізуіне арналған желілік қауіпсіздік саясаты осылайша классикалық түрде жүзеге асырылады. Алдымен олар конфигурацияда тәртіпті сақтауға тырысады, бірақ содан кейін қызметкерлер бөлімнен бөлімге ауыса бастайды, серверлер көбейіп, рөлдерін өзгертеді, әдетте рұқсат етілмеген жерлерде әртүрлі жобаларға қол жетімділік пайда болады және жүздеген белгісіз ешкі жолдары пайда болады.
Кейбір ережелердің жанында, егер сәттілік болса, «Вася мені мұны істеуді сұрады» немесе «Бұл DMZ-ге өту» деген пікірлер бар. Желі әкімшісі жұмыстан шығып, бәрі түсініксіз болады. Содан кейін біреу Васяның конфигурациясын тазалауды шешті және SAP істен шықты, өйткені Вася бір рет жауынгерлік SAP іске қосу үшін осы рұқсатты сұрады.
Бүгін мен желілік байланыс пен қауіпсіздік саясатын желіаралық қалқан конфигурацияларында шатастырусыз дәл қолдануға көмектесетін VMware NSX шешімі туралы айтатын боламын. Мен сізге осы бөлімде VMware бұрын болғанымен салыстырғанда қандай жаңа мүмкіндіктер пайда болғанын көрсетемін.
VMWare NSX – желі қызметтеріне арналған виртуализация және қауіпсіздік платформасы. NSX маршруттау, коммутация, жүктемені теңестіру, брандмауэр мәселелерін шешеді және басқа да көптеген қызықты нәрселерді жасай алады.
NSX — VMware компаниясының жеке vCloud Networking and Security (vCNS) өнімінің және сатып алынған Nicira NVP өнімінің мұрагері.
vCNS-тен NSX-ке
Бұрын клиенттің VMware vCloud жүйесінде орнатылған бұлтта жеке vCNS vShield Edge виртуалды машинасы болған. Ол көптеген желілік функцияларды конфигурациялауға болатын шекаралық шлюз ретінде әрекет етті: NAT, DHCP, Firewall, VPN, жүктемені теңестіруші және т.б. vShield Edge виртуалды машинаның сыртқы әлеммен әрекеттесуін Шартта көрсетілген ережелер бойынша шектеді. Брандмауэр және NAT. Желі ішінде виртуалды машиналар ішкі желілерде бір-бірімен еркін байланысады. Егер сіз шынымен трафикті бөлісіп, жаулап алғыңыз келсе, қосымшалардың жеке бөліктері (әртүрлі виртуалды машиналар) үшін бөлек желі құра аласыз және желіаралық қалқанда олардың желілік өзара әрекеттесуінің тиісті ережелерін орната аласыз. Бірақ бұл ұзақ, қиын және қызық емес, әсіресе сізде бірнеше ондаған виртуалды машиналар болған кезде.
NSX-те VMware гипервизорлық ядроға енгізілген бөлінген брандмауэрді пайдаланып микро сегменттеу тұжырымдамасын жүзеге асырды. Ол тек IP және MAC мекенжайлары үшін ғана емес, сонымен қатар басқа нысандар үшін де қауіпсіздік және желілік өзара әрекеттесу саясатын анықтайды: виртуалды машиналар, қолданбалар. Егер NSX ұйым ішінде қолданылса, бұл нысандар Active Directory пайдаланушысы немесе пайдаланушылар тобы болуы мүмкін. Әрбір осындай нысан өзінің қауіпсіздік циклінде, қажетті ішкі желіде, өзінің жайлы DMZ-і бар микросегментке айналады :).
Бұрын ресурстардың бүкіл пулы үшін шеткі қосқышпен қорғалған бір ғана қауіпсіздік периметрі болған, бірақ NSX көмегімен бөлек виртуалды машинаны қажетсіз өзара әрекеттесулерден, тіпті бір желіде де қорғай аласыз.
Кәсіпорын басқа желіге ауысса, қауіпсіздік және желілік саясаттар бейімделеді. Мысалы, дерекқоры бар машинаны басқа желі сегментіне немесе тіпті басқа қосылған виртуалды деректер орталығына көшірсек, онда бұл виртуалды машина үшін жазылған ережелер оның жаңа орнына қарамастан қолданылуын жалғастырады. Бағдарлама сервері әлі де дерекқормен байланыса алады.
Edge шлюзінің өзі, vCNS vShield Edge, NSX Edge ауыстырылды. Онда ескі Edge-тің барлық джентльмендік мүмкіндіктері, сонымен қатар бірнеше жаңа пайдалы мүмкіндіктер бар. Біз олар туралы әрі қарай сөйлесетін боламыз.
NSX Edge-де қандай жаңалықтар бар?
NSX Edge функционалдығы байланысты
Брандмауэр. Ережелер қолданылатын нысандар ретінде IP мекенжайларын, желілерді, шлюз интерфейстерін және виртуалды машиналарды таңдауға болады.
DHCP. Осы желідегі виртуалды машиналарға автоматты түрде берілетін IP мекенжайларының ауқымын конфигурациялаумен қатар, NSX Edge енді келесі функцияларға ие: Binding и Реле.
Қойындыда Байланыстар IP мекенжайын өзгертпеу қажет болса, виртуалды машинаның MAC мекенжайын IP мекенжайына байланыстыруға болады. Ең бастысы, бұл IP мекенжайы DHCP пулына қосылмаған.
Қойындыда Реле DHCP хабарларының релесі vCloud Director жүйесінде ұйымыңыздан тыс орналасқан DHCP серверлеріне, соның ішінде физикалық инфрақұрылымның DHCP серверлеріне теңшелген.
Маршруттау. vShield Edge тек статикалық маршруттауды конфигурациялай алады. Мұнда OSPF және BGP протоколдарын қолдайтын динамикалық маршруттау пайда болды. ECMP (Белсенді-белсенді) параметрлері де қол жетімді болды, бұл физикалық маршрутизаторларға белсенді-белсенді ауыстыруды білдіреді.
OSPF орнату
BGP орнату
Тағы бір жаңа нәрсе - әртүрлі протоколдар арасындағы маршруттарды тасымалдауды орнату,
маршрутты қайта бөлу.
L4/L7 Load Balancer. X-Forwarded-For HTTPs тақырыбы үшін енгізілді. Онсыз бәрі жылады. Мысалы, сізде теңдестіретін веб-сайт бар. Бұл тақырыпты қайта бағыттамай-ақ, бәрі жұмыс істейді, бірақ веб-сервер статистикасында сіз келушілердің IP-ін емес, балансизатордың IP-ін көрдіңіз. Қазір бәрі дұрыс.
Сондай-ақ, Қолданба ережелері қойындысында енді трафикті теңестіруді тікелей басқаратын сценарийлерді қосуға болады.
VPN. IPSec VPN-ге қоса, NSX Edge мыналарды қолдайды:
- L2 VPN, географиялық дисперсті сайттар арасындағы желілерді кеңейтуге мүмкіндік береді. Мұндай VPN қажет, мысалы, басқа сайтқа көшкен кезде виртуалды машина сол ішкі желіде қалады және өзінің IP мекенжайын сақтайды.
- SSL VPN Plus, ол пайдаланушыларға корпоративтік желіге қашықтан қосылуға мүмкіндік береді. vSphere деңгейінде мұндай функция болды, бірақ vCloud Director үшін бұл жаңалық.
SSL сертификаттары. Сертификаттарды енді NSX Edge жүйесіне орнатуға болады. Бұл тағы да https үшін сертификаты жоқ балансизатор кімге қажет болды деген сұраққа келеді.
Объектілерді топтастыру. Бұл қойындыда белгілі бір желілік өзара әрекеттесу ережелері қолданылатын нысандар топтары көрсетіледі, мысалы, желіаралық қалқан ережелері.
Бұл нысандар IP және MAC мекенжайлары болуы мүмкін.
Сондай-ақ брандмауэр ережелерін жасау кезінде пайдалануға болатын қызметтер тізімі (протокол-порт комбинациясы) және қолданбалар бар. Тек vCD порталының әкімшісі ғана жаңа қызметтер мен қолданбаларды қоса алады.
Статистика. Қосылу статистикасы: шлюз, желіаралық қалқан және балансизатор арқылы өтетін трафик.
Әрбір IPSEC VPN және L2 VPN туннелі үшін күй және статистика.
Тіркеу. Жиек параметрлері қойындысында журналдарды жазу үшін серверді орнатуға болады. Журнал жүргізу DNAT/SNAT, DHCP, брандмауэр, маршруттау, баланстауыш, IPsec VPN, SSL VPN Plus үшін жұмыс істейді.
Әрбір нысан/қызмет үшін келесі ескерту түрлері қолжетімді:
— Түзету
— Ескерту
— Сыни
- Қате
— Ескерту
— Ескерту
— Ақпарат
NSX Edge өлшемдері
Шешілетін міндеттерге және VMware көлеміне байланысты
NSX Edge
(ықшам)
NSX Edge
(Үлкен)
NSX Edge
(Төрт-үлкен)
NSX Edge
(X-үлкен)
vCPU
1
2
4
6
жад
512MB
1GB
1GB
8GB
диск
512MB
512MB
512MB
4.5 + + 4GB
Кездесу
Бір нәрсе
қолдану, сынақ
деректер орталығы
Кішкентай
немесе орташа
деректер орталығы
Жүктелді
брандмауэр
Теңестіру
L7 деңгейіндегі жүктемелер
Төменде кестеде NSX Edge өлшеміне байланысты желі қызметтерінің жұмыс көрсеткіштері берілген.
NSX Edge
(ықшам)
NSX Edge
(Үлкен)
NSX Edge
(Төрт-үлкен)
NSX Edge
(X-үлкен)
интерфейстер
10
10
10
10
Ішкі интерфейстер (магистральдық)
200
200
200
200
NAT ережелері
2,048
4,096
4,096
8,192
ARP жазбалары
Қайта жазуға дейін
1,024
2,048
2,048
2,048
FW ережелері
2000
2000
2000
2000
FW өнімділігі
3Gб / сек
9.7Gб / сек
9.7Gб / сек
9.7Gб / сек
DHCP пулдары
20,000
20,000
20,000
20,000
ECMP жолдары
8
8
8
8
Статикалық маршруттар
2,048
2,048
2,048
2,048
LB бассейндері
64
64
64
1,024
LB виртуалды серверлері
64
64
64
1,024
LB сервері/пул
32
32
32
32
LB денсаулық тексерулері
320
320
320
3,072
LB қолдану ережелері
4,096
4,096
4,096
4,096
L2VPN Clients Hub to Spoke
5
5
5
5
Әр клиентке/серверге арналған L2VPN желілері
200
200
200
200
IPSec туннельдері
512
1,600
4,096
6,000
SSLVPN туннельдері
50
100
100
1,000
SSLVPN жеке желілері
16
16
16
16
Бір уақыттағы сеанстар
64,000
1,000,000
1,000,000
1,000,000
Сеанстар/секунд
8,000
50,000
50,000
50,000
LB Throughput L7 прокси)
2.2Gб / сек
2.2Gб / сек
3Gб / сек
LB өткізу L4 режимі)
6Gб / сек
6Gб / сек
6Gб / сек
LB қосылымдары (L7 прокси)
46,000
50,000
50,000
LB қатарлас қосылымдар (L7 прокси)
8,000
60,000
60,000
LB қосылымдары/с (L4 режимі)
50,000
50,000
50,000
LB қатарлас қосылымдар (L4 режимі)
600,000
1,000,000
1,000,000
BGP маршруттары
20,000
50,000
250,000
250,000
BGP Neighbours
10
20
100
100
BGP маршруттары қайта бөлінді
No Limit
No Limit
No Limit
No Limit
OSPF маршруттары
20,000
50,000
100,000
100,000
OSPF LSA жазбаларының ең көбі 750 түрі-1
20,000
50,000
100,000
100,000
OSPF көршілестіктері
10
20
40
40
OSPF маршруттары қайта бөлінді
2000
5000
20,000
20,000
Жалпы маршруттар
20,000
50,000
250,000
250,000
→
Кестеде тек Үлкен өлшемнен бастап өнімді сценарийлер үшін NSX Edge жүйесінде теңгерімдеуді ұйымдастыру ұсынылатынын көрсетеді.
Бүгінгі күнім осы ғана. Келесі бөліктерде мен әрбір NSX Edge желі қызметін конфигурациялау жолын егжей-тегжейлі қарастырамын.
Ақпарат көзі: www.habr.com