Эгерде сиз кандайдыр бир брандмауэрдин конфигурациясын карасаңыз, анда биз IP даректери, порттору, протоколдору жана субторлору бар баракты көрөбүз. Колдонуучунун ресурстарга жетүү үчүн тармактык коопсуздук саясаты ушундайча классикалык түрдө ишке ашырылат. Адегенде алар конфигурацияда тартипти сактоого аракет кылышат, бирок андан кийин кызматкерлер бөлүмдөн бөлүмгө көчүп киришет, серверлер көбөйүп, өз ролдорун алмаштырат, адатта уруксат берилбеген жерлерде түрдүү долбоорлорго кирүү пайда болот жана жүздөгөн белгисиз эчки жолдору пайда болот.
Кээ бир эрежелердин жанында, эгер бактылуу болсоңуз, "Вася менден муну суранды" же "Бул DMZге өтүү" деген комментарийлер бар. Тармактын администратору иштен чыгып, баары түшүнүксүз болуп калат. Андан кийин кимдир бирөө Васянын конфигурациясын тазалоону чечти жана SAP кыйрады, анткени Вася бир жолу согуштук SAPти иштетүү үчүн бул мүмкүнчүлүктү сураган.
Бүгүн мен брандмауэр конфигурацияларында башаламандыксыз тармактык байланыш жана коопсуздук саясатын так колдонууга жардам берген VMware NSX чечими жөнүндө сүйлөшөм. Мен сизге бул бөлүктө VMware мурда болгон нерселерге салыштырмалуу кандай жаңы функциялар пайда болгонун көрсөтөм.
VMWare NSX тармак кызматтары үчүн виртуалдаштыруу жана коопсуздук платформасы. NSX маршрутташтыруу, которуштуруу, жүктөрдү теңдөө, брандмауэр көйгөйлөрүн чечет жана башка көптөгөн кызыктуу нерселерди жасай алат.
NSX VMware'дин өзүнүн vCloud Networking and Security (vCNS) продуктунун жана сатып алынган Nicira NVPдин мураскери.
vCNSтен NSXге
Мурда кардардын VMware vCloud'та курулган булуттагы өзүнчө vCNS vShield Edge виртуалдык машинасы болгон. Ал чек ара шлюзунун ролун аткарган, мында көптөгөн тармак функцияларын конфигурациялоого мүмкүн болгон: NAT, DHCP, Firewall, VPN, жүк балансы ж.б. Firewall жана NAT. Тармактын ичинде виртуалдык машиналар субсеттердин ичинде бири-бири менен эркин байланышып турушкан. Эгерде сиз чындап эле трафикти бөлүштүрүүнү жана жеңүүнү кааласаңыз, анда сиз тиркемелердин айрым бөлүктөрүнө (ар кандай виртуалдык машиналар) өзүнчө тармак түзүп, брандмауэрде алардын тармактык өз ара аракеттенүүсү үчүн тиешелүү эрежелерди орното аласыз. Бирок бул узак, кыйын жана кызыксыз, айрыкча бир нече ондогон виртуалдык машиналарыңыз болгондо.
NSXде VMware гипервизордун ядросуна орнотулган бөлүштүрүлгөн брандмауэрди колдонуу менен микро сегментациялоо концепциясын ишке ашырган. Ал IP жана MAC даректери үчүн гана эмес, башка объекттер үчүн да коопсуздук жана тармактык өз ара аракеттенүү саясатын аныктайт: виртуалдык машиналар, тиркемелер. Эгерде NSX уюм ичинде жайгаштырылса, бул объекттер Active Directoryден колдонуучу же колдонуучулардын тобу болушу мүмкүн. Ар бир мындай объект өзүнүн ыңгайлуу DMZ менен, өзүнүн коопсуздук циклинде, талап кылынган ички тармакта микросегментке айланат :).
Мурда ресурстардын бүтүндөй бассейни үчүн бир гана коопсуздук периметри бар болчу, ал четки которгуч менен корголгон, бирок NSX менен сиз өзүнчө виртуалдык машинаны керексиз өз ара аракеттенүүдөн, атүгүл бир тармактын ичинде да коргой аласыз.
Эгер уюм башка тармакка өтсө, коопсуздук жана тармактык саясаттар ыңгайлашат. Мисалы, эгерде биз маалымат базасы бар машинаны башка тармак сегментине же башка туташкан виртуалдык маалымат борборуна жылдырсак, анда бул виртуалдык машина үчүн жазылган эрежелер анын жаңы жайгашкан жерине карабастан колдонула берет. Колдонмо сервери дагы эле маалымат базасы менен байланыша алат.
Edge шлюзунун өзү, vCNS vShield Edge, NSX Edge менен алмаштырылды. Бул эски Edge бардык мырзалык өзгөчөлүктөрүнө, плюс бир нече жаңы пайдалуу өзгөчөлүктөргө ээ. Биз алар тууралуу мындан ары да сүйлөшөбүз.
NSX Edgeде эмне жаңылык бар?
NSX Edge иштеши көз каранды NSX. Алардын бешөө бар: Стандарттык, Кесиптик, Advanced, Ишкана, Плюс Алыскы филиал. Бардык жаңы жана кызыктуу нерселерди Advanced менен гана көрүүгө болот. Бул жаңы интерфейсти камтыйт, ал vCloud толугу менен HTML5ке которулмайынча (VMware 2019-жылдын жайын убада кылат) жаңы өтмөктө ачылат.
брандмауэр. Эрежелер колдонула турган объект катары IP даректерди, тармактарды, шлюз интерфейстерин жана виртуалдык машиналарды тандай аласыз.
DHCP. Бул тармактагы виртуалдык машиналарга автоматтык түрдө бериле турган IP даректеринин диапазонун конфигурациялоодон тышкары, NSX Edge азыр төмөнкү функцияларды сунуштайт: милдеттүү и Реле.
Өтмөктө Байланыштар Эгер сизге IP дареги өзгөрбөшү керек болсо, виртуалдык машинанын MAC дарегин IP дарекке байлай аласыз. Эң негизгиси, бул IP дареги DHCP бассейнине кирбейт.
Өтмөктө Реле DHCP билдирүүлөрүнүн релеси vCloud Directorдеги уюмуңуздан тышкары жайгашкан DHCP серверлерине, анын ичинде физикалык инфраструктуранын DHCP серверлерине конфигурацияланган.
Маршрутизация. vShield Edge статикалык маршрутту гана конфигурациялай алган. Бул жерде OSPF жана BGP протоколдорунун колдоосу менен динамикалык багыттоо пайда болду. ECMP (Активдүү-активдүү) орнотуулары да жеткиликтүү болуп калды, бул физикалык роутерлерге активдүү-активдүү алмаштырууну билдирет.
OSPF орнотулууда
BGP орнотулууда
Дагы бир жаңы нерсе - ар кандай протоколдордун ортосунда каттамдарды өткөрүп берүү,
маршрутту кайра бөлүштүрүү.
L4/L7 Load Balancer. X-Forwarded-For HTTPs аталышы үчүн киргизилген. Ансыз баары ыйлады. Мисалы, сиз баланстап жаткан веб-сайтыңыз бар. Бул башты жөнөтпөстөн, баары иштейт, бирок веб-сервердин статистикасында сиз коноктордун IP эмес, баланстоочунун IP дарегин көрдүңүз. Азыр баары туура.
Ошондой эле Колдонмо эрежелери өтмөгүндө сиз трафиктин тең салмактуулугун түз башкара турган скрипттерди кошо аласыз.
vpn. IPSec VPNден тышкары, NSX Edge төмөнкүлөрдү колдойт:
- L2 VPN, географиялык жактан таралган сайттардын ортосундагы тармактарды кеңейтүүгө мүмкүндүк берет. Мындай VPN, мисалы, башка сайтка өткөндө виртуалдык машина ошол эле ички тармакта калып, өзүнүн IP дарегин сактап калышы үчүн керек.
- SSL VPN Plus, колдонуучуларга корпоративдик тармакка алыстан туташуу мүмкүнчүлүгүн берет. vSphere деңгээлинде мындай функция бар болчу, бирок vCloud Директору үчүн бул жаңычылдык.
SSL сертификаттары. Сертификаттар эми NSX Edgeге орнотулушу мүмкүн. Бул дагы бир жолу https үчүн сертификаты жок баланстоочу кимге керек деген суроого келет.
Объекттерди топтоо. Бул өтмөктө белгилүү бир тармактык өз ара аракеттенүү эрежелери колдонула турган объекттердин топтору көрсөтүлөт, мисалы, брандмауэр эрежелери.
Бул объекттер IP жана MAC даректери болушу мүмкүн.
Ошондой эле брандмауэр эрежелерин түзүүдө колдонула турган кызматтардын тизмеси (протокол-порт айкалышы) жана тиркемелер бар. vCD порталынын администратору гана жаңы кызматтарды жана тиркемелерди кошо алат.
Статистика. Туташуу статистикасы: шлюз, брандмауэр жана баланстоочу аркылуу өткөн трафик.
Ар бир IPSEC VPN жана L2 VPN туннелинин абалы жана статистикасы.
Каттоо. Edge Орнотуулар өтмөгүндө сиз журналдарды жазуу үчүн серверди орното аласыз. Каттоо DNAT/SNAT, DHCP, Firewall, маршрутизация, баланстоочу, IPsec VPN, SSL VPN Plus үчүн иштейт.
Ар бир объект/кызмат үчүн эскертүүлөрдүн төмөнкү түрлөрү бар:
— Мүчүлүштүктөрдү оңдоо
— Эскертүү
— Критикалык
- Ката
— Эскертүү
— Эскертүү
— Маалымат
NSX Edge өлчөмдөрү
Чечилип жаткан милдеттерге жана VMware көлөмүнө жараша төмөнкү өлчөмдөрдө NSX Edge түзүү:
NSX Edge
(Компакт)
NSX Edge
(Чоң)
NSX Edge
(Төрт чоң)
NSX Edge
(Х чоң)
vCPU
1
2
4
6
эскерүү
512MB
1GB
1GB
8GB
диск
512MB
512MB
512MB
4.5GB + 4GB
дайындоо
Бир
колдонмо, сыноо
маалымат борбору
Кичинекей
же орточо
маалымат борбору
Жүктөлдү
брандмауэр
Теңдөө
L7 деңгээлинде жүктөмөлөр
Төмөндө таблицада NSX Edge өлчөмүнө жараша тармактык кызматтардын иштөө көрсөткүчтөрү келтирилген.
NSX Edge
(Компакт)
NSX Edge
(Чоң)
NSX Edge
(Төрт чоң)
NSX Edge
(Х чоң)
Interfaces
10
10
10
10
Кошумча интерфейстер (транк)
200
200
200
200
NAT эрежелери
2,048
4,096
4,096
8,192
ARP жазуулары
Overwrite чейин
1,024
2,048
2,048
2,048
FW эрежелери
2000
2000
2000
2000
FW Performance
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP бассейндери
20,000
20,000
20,000
20,000
ECMP жолдору
8
8
8
8
Статикалык каттамдар
2,048
2,048
2,048
2,048
LB Pools
64
64
64
1,024
LB виртуалдык серверлери
64
64
64
1,024
LB Server/Pool
32
32
32
32
LB ден соолук текшерүүлөрү
320
320
320
3,072
LB колдонуу эрежелери
4,096
4,096
4,096
4,096
L2VPN Clients Hub to Spoke
5
5
5
5
L2VPN тармактары ар бир кардарга/серверге
200
200
200
200
IPSec туннелдери
512
1,600
4,096
6,000
SSLVPN туннелдери
50
100
100
1,000
SSLVPN Жеке тармактар
16
16
16
16
Concurrent Seanss
64,000
1,000,000
1,000,000
1,000,000
Сеанстар/Секунд
8,000
50,000
50,000
50,000
LB Throughput L7 прокси)
2.2Gbps
2.2Gbps
3Gbps
LB өткөрүү L4 режими)
6Gbps
6Gbps
6Gbps
LB Connections/s (L7 Proxy)
46,000
50,000
50,000
LB Concurrent Connections (L7 Proxy)
8,000
60,000
60,000
LB Connections/s (L4 Mode)
50,000
50,000
50,000
LB Concurrent Connections (L4 Mode)
600,000
1,000,000
1,000,000
BGP маршруттары
20,000
50,000
250,000
250,000
BGP Neighbours
10
20
100
100
BGP Маршруттары кайра бөлүштүрүлдү
No Limit
No Limit
No Limit
No Limit
OSPF маршруттары
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF кошуналары
10
20
40
40
OSPF Маршруттары кайра бөлүштүрүлдү
2000
5000
20,000
20,000
Жалпы маршруттар
20,000
50,000
250,000
250,000
→
Таблица NSX Edgeде чоң өлчөмдөн баштап гана жемиштүү сценарийлер үчүн тең салмактуулукту уюштуруу сунушталаарын көрсөтүп турат.
Менде бүгүнкү күндө болгону ушул. Кийинки бөлүктөрдө мен ар бир NSX Edge тармак кызматын кантип конфигурациялоону майда-чүйдөсүнө чейин карап чыгам.
Source: www.habr.com