어린이를 위한 VMware NSX. 1 부

방화벽의 구성을 살펴보면 IP 주소, 포트, 프로토콜 및 서브넷이 포함된 시트를 볼 가능성이 높습니다. 이는 리소스에 대한 사용자 액세스에 대한 네트워크 보안 정책이 일반적으로 구현되는 방식입니다. 처음에는 구성의 순서를 유지하려고 시도하지만 직원이 부서에서 부서로 이동하기 시작하고 서버가 늘어나고 역할이 변경되며 일반적으로 허용되지 않는 다른 프로젝트에 대한 액세스가 나타나고 수백 개의 알려지지 않은 염소 경로가 나타납니다.

일부 규칙 옆에는 운이 좋으면 "Vasya가 나에게 이렇게 해달라고 요청했습니다" 또는 "이것은 DMZ로 가는 통로입니다"라는 코멘트가 있습니다. 네트워크 관리자가 그만두고 모든 것이 완전히 불분명해집니다. 그런 다음 누군가 Vasya의 구성을 지우기로 결정했고 Vasya가 전투 SAP를 실행하기 위해 이 액세스 권한을 요청했기 때문에 SAP가 충돌했습니다.

오늘은 방화벽 구성 시 혼란 없이 네트워크 통신과 보안 정책을 정확하게 적용할 수 있도록 도와주는 VMware NSX 솔루션에 대해 이야기하겠습니다. 이 부분에서는 이전 VMware의 기능과 비교하여 어떤 새로운 기능이 등장했는지 보여 드리겠습니다.

VMWare NSX는 네트워크 서비스를 위한 가상화 및 보안 플랫폼입니다. NSX는 라우팅, 스위칭, 로드 밸런싱, 방화벽 문제를 해결하고 기타 여러 가지 흥미로운 작업을 수행할 수 있습니다.

NSX는 VMware의 vCNS(vCloud Networking and Security) 제품과 인수한 Nicira NVP의 후속 제품입니다.

vCNS에서 NSX로

이전에는 클라이언트에 VMware vCloud를 기반으로 구축된 클라우드에 별도의 vCNS vShield Edge 가상 머신이 있었습니다. 이는 NAT, DHCP, 방화벽, VPN, 로드 밸런서 등 다양한 네트워크 기능을 구성할 수 있는 경계 게이트웨이 역할을 했습니다. vShield Edge는 지정된 규칙에 따라 가상 머신과 외부 세계의 상호 작용을 제한했습니다. 방화벽 및 NAT. 네트워크 내 가상 머신은 서브넷 내에서 자유롭게 서로 통신했습니다. 트래픽을 분할하고 정복하려면 애플리케이션의 개별 부분(다른 가상 머신)에 대해 별도의 네트워크를 만들고 방화벽에서 해당 네트워크 상호 작용에 대한 적절한 규칙을 설정할 수 있습니다. 그러나 이는 길고 어렵고 흥미롭지 않습니다. 특히 수십 개의 가상 머신이 있는 경우에는 더욱 그렇습니다.

NSX에서 VMware는 하이퍼바이저 커널에 내장된 분산 방화벽을 사용하여 마이크로 세분화 개념을 구현했습니다. 이는 IP 및 MAC 주소뿐만 아니라 가상 머신, 애플리케이션과 같은 다른 개체에 대한 보안 및 네트워크 상호 작용 정책을 지정합니다. NSX가 조직 내에 배포된 경우 이러한 개체는 Active Directory의 사용자 또는 사용자 그룹일 수 있습니다. 이러한 각 개체는 자체 보안 루프의 필수 서브넷과 아늑한 DMZ가 있는 마이크로세그먼트로 변합니다.

이전에는 전체 리소스 풀에 대해 하나의 보안 경계만 있었고 Edge 스위치로 보호되었지만 NSX를 사용하면 동일한 네트워크 내에서도 불필요한 상호 작용으로부터 별도의 가상 시스템을 보호할 수 있습니다.

엔터티가 다른 네트워크로 이동하면 보안 및 네트워킹 정책이 조정됩니다. 예를 들어 데이터베이스가 있는 머신을 다른 네트워크 세그먼트나 연결된 다른 가상 데이터 센터로 이동하는 경우 이 가상 머신에 대해 작성된 규칙은 새 위치에 관계없이 계속 적용됩니다. 애플리케이션 서버는 계속해서 데이터베이스와 통신할 수 있습니다.

Edge 게이트웨이 자체인 vCNS vShield Edge는 NSX Edge로 대체되었습니다. 기존 Edge의 모든 신사적인 기능과 몇 가지 새로운 유용한 기능을 갖추고 있습니다. 우리는 그들에 대해 더 이야기할 것입니다.

NSX Edge의 새로운 기능은 무엇입니까?

NSX Edge 기능은 다음에 따라 달라집니다. 편집진 NSX. 그 중 5가지가 있습니다: Standard, Professional, Advanced, Enterprise, Plus Remote Branch Office. 새롭고 흥미로운 모든 것은 고급부터 시작해서만 볼 수 있습니다. vCloud가 HTML2019로 완전히 전환될 때까지(VMware는 XNUMX년 여름 약속) 새 탭에서 열리는 새 인터페이스를 포함합니다.

방화벽. IP 주소, 네트워크, 게이트웨이 인터페이스 및 가상 머신을 규칙이 적용될 개체로 선택할 수 있습니다.

DHCP. 이 네트워크의 가상 시스템에 자동으로 발급될 IP 주소 범위를 구성하는 것 외에도 NSX Edge에는 이제 다음 기능이 있습니다. 구속력이있는 и 계전기.

탭에서 바인딩 IP 주소를 변경하지 않아야 하는 경우 가상 머신의 MAC 주소를 IP 주소에 바인딩할 수 있습니다. 가장 중요한 점은 이 IP 주소가 DHCP 풀에 포함되지 않는다는 것입니다.

탭에서 계전기 DHCP 메시지 릴레이는 물리적 인프라의 DHCP 서버를 포함하여 vCloud Director에서 조직 외부에 있는 DHCP 서버로 구성됩니다.

라우팅. vShield Edge는 정적 라우팅만 구성할 수 있습니다. OSPF 및 BGP 프로토콜을 지원하는 동적 라우팅이 여기에 나타났습니다. ECMP(Active-Active) 설정도 가능해졌습니다. 이는 물리적 라우터에 대한 액티브-액티브 장애 조치를 의미합니다.

OSPF 설정

BGP 설정

또 다른 새로운 점은 서로 다른 프로토콜 간의 경로 전송을 설정하는 것입니다.
경로 재분배.

L4/L7 로드 밸런서. X-Forwarded-For는 HTTPs 헤더에 도입되었습니다. 그 사람 없이는 모두가 울었습니다. 예를 들어, 균형을 맞추고 있는 웹사이트가 있습니다. 이 헤더를 전달하지 않으면 모든 것이 작동하지만 웹 서버 통계에는 방문자의 IP가 아니라 밸런서의 IP가 표시됩니다. 이제 모든 것이 옳습니다.

또한 응용 프로그램 규칙 탭에서 이제 트래픽 균형을 직접 제어하는 ​​스크립트를 추가할 수 있습니다.

VPN. IPSec VPN 외에도 NSX Edge는 다음을 지원합니다.

• L2 VPN을 사용하면 지리적으로 분산된 사이트 간에 네트워크를 확장할 수 있습니다. 예를 들어, 다른 사이트로 이동할 때 가상 머신이 동일한 서브넷에 남아 해당 IP 주소를 유지하려면 이러한 VPN이 필요합니다.

• SSL VPN Plus를 사용하면 사용자가 기업 네트워크에 원격으로 연결할 수 있습니다. vSphere 수준에서는 이러한 기능이 있었지만 vCloud Director에서는 이것이 혁신입니다.

SSL 인증서. 이제 NSX Edge에 인증서를 설치할 수 있습니다. 이는 https 인증서 없이 누가 밸런서를 필요로 했는지에 대한 질문입니다.

개체 그룹화. 이 탭에서는 특정 네트워크 상호 작용 규칙(예: 방화벽 규칙)을 적용할 개체 그룹이 지정됩니다.

이러한 개체는 IP 및 MAC 주소일 수 있습니다.

 


방화벽 규칙을 생성할 때 사용할 수 있는 서비스(프로토콜-포트 조합) 및 애플리케이션 목록도 있습니다. vCD 포털 관리자만 새 서비스와 애플리케이션을 추가할 수 있습니다.

 


통계 연결 통계: 게이트웨이, 방화벽 및 밸런서를 통과하는 트래픽입니다.

각 IPSEC VPN 및 L2 VPN 터널의 상태 및 통계입니다.

벌채 반출. Edge 설정 탭에서는 로그를 기록할 서버를 설정할 수 있습니다. 로깅은 DNAT/SNAT, DHCP, 방화벽, 라우팅, 밸런서, IPsec VPN, SSL VPN Plus에서 작동합니다.
 
각 개체/서비스에 대해 다음 유형의 경고를 사용할 수 있습니다.

—디버그
-알리다
-비판적인
- 오류
-경고
- 알아채다
— 정보

NSX Edge 차원

해결 중인 작업과 VMware의 규모에 따라 추천하다 다음 크기로 NSX Edge를 생성합니다.

NSX 엣지
(콤팩트)

NSX 엣지
(큰)

NSX 엣지
(XNUMX대형)

NSX 엣지
(특대형)

vCPU

1

2

4

6

메모리

512MB

1GB

1GB

8GB

디스크

512MB

512MB

512MB

4.5GB + 4GB

예약

한 가지
신청, 테스트
데이터 센터

작은
또는 평균
데이터 센터

짐을 실은
방화벽

균형
레벨 L7의 부하

아래 표에는 NSX Edge의 크기에 따른 네트워크 서비스의 운영 메트릭이 나와 있습니다.

NSX 엣지
(콤팩트)

NSX 엣지
(큰)

NSX 엣지
(XNUMX대형)

NSX 엣지
(특대형)

인터페이스

10

10

10

10

하위 인터페이스(트렁크)

200

200

200

200

NAT 규칙

2,048

4,096

4,096

8,192

ARP 항목
덮어쓰기까지

1,024

2,048

2,048

2,048

FW 규칙

2000

2000

2000

2000

FW 성과

3Gbps

9.7Gbps

9.7Gbps

9.7Gbps

DHCP 풀

20,000

20,000

20,000

20,000

ECMP 경로

8

8

8

8

정적 경로

2,048

2,048

2,048

2,048

LB 풀

64

64

64

1,024

LB 가상 서버

64

64

64

1,024

LB 서버/풀

32

32

32

32

LB 상태 점검

320

320

320

3,072

LB 신청 규정

4,096

4,096

4,096

4,096

L2VPN 클라이언트 허브 투 스포크

5

5

5

5

클라이언트/서버당 L2VPN 네트워크

200

200

200

200

IPSec 터널

512

1,600

4,096

6,000

SSLVPN 터널

50

100

100

1,000

SSLVPN 사설 네트워크

16

16

16

16

동시 세션

64,000

1,000,000

1,000,000

1,000,000

세션/초

8,000

50,000

50,000

50,000

LB 처리량 L7 프록시)

2.2Gbps

2.2Gbps

3Gbps

LB 처리량 L4 모드)

6Gbps

6Gbps

6Gbps

LB 연결/초(L7 프록시)

46,000

50,000

50,000

LB 동시 연결(L7 프록시)

8,000

60,000

60,000

LB 연결/초(L4 모드)

50,000

50,000

50,000

LB 동시 연결(L4 모드)

600,000

1,000,000

1,000,000

BGP 경로

20,000

50,000

250,000

250,000

BGP 이웃

10

20

100

100

BGP 경로 재배포

제한 없음

제한 없음

제한 없음

제한 없음

OSPF 경로

20,000

50,000

100,000

100,000

OSPF LSA 항목 최대 750 Type-1

20,000

50,000

100,000

100,000

OSPF 인접성

10

20

40

40

OSPF 경로 재배포

2000

5000

20,000

20,000

총 노선

20,000

50,000

250,000

250,000

→ 출처

표에서는 큰 크기부터 시작하는 생산적인 시나리오에 대해 NSX Edge에서 균형 조정을 구성하는 것이 권장됨을 보여줍니다.

오늘은 그게 전부입니다. 다음 부분에서는 각 NSX Edge 네트워크 서비스를 구성하는 방법을 자세히 살펴보겠습니다.

출처 : habr.com