Wann Dir d'Konfiguratioun vun enger Firewall kuckt, da wäerte mir héchstwahrscheinlech e Blat mat enger Rëtsch IP Adressen, Ports, Protokoller an Subnets gesinn. Dëst ass wéi d'Netzsécherheetspolitike fir Benotzer Zougang zu Ressourcen klassesch ëmgesat ginn. Am Ufank probéieren se Uerdnung an der Configuratioun ze erhalen, awer dann fänken d'Mataarbechter vun Departement zu Departement ze plënneren, Server multiplizéieren an hir Rollen änneren, Zougang fir verschidde Projeten erschéngt wou se normalerweis net erlaabt sinn, an Honnerte vun onbekannte Geessweeër entstinn.
Nieft e puer Reegelen, wann Dir Gléck hutt, ginn et Kommentarer "Vasya huet mech gefrot dëst ze maachen" oder "Dëst ass e Passage zum DMZ." Den Netzadministrator hält op, an alles gëtt komplett onkloer. Dunn huet een decidéiert d'Konfiguratioun vum Vasya ze läschen, an de SAP ass erofgefall, well de Vasya eemol fir dësen Zougang gefrot huet fir de Kampf SAP ze lafen.
Haut wäert ech iwwer d'VMware NSX Léisung schwätzen, déi hëlleft fir d'Netzwierkkommunikatioun a Sécherheetspolitik präzis anzesetzen ouni Duercherneen an Firewall Konfiguratiounen. Ech weisen Iech wat nei Features erschéngen am Verglach zu deem wat VMware virdru an dësem Deel hat.
VMWare NSX ass eng Virtualiséierungs- a Sécherheetsplattform fir Netzwierkservicer. NSX léist Probleemer vu Routing, Schalten, Belaaschtung, Firewall a ka vill aner interessant Saache maachen.
NSX ass den Nofolger vum VMware säin eegene vCloud Networking and Security (vCNS) Produkt an dem erkaaften Nicira NVP.
Vun vCNS op NSX
Virdrun hat e Client eng separat vCNS vShield Edge virtuell Maschinn an enger Wollek op VMware vCloud gebaut. Et huet als Grenzpaart gehandelt, wou et méiglech war vill Netzwierkfunktiounen ze konfiguréieren: NAT, DHCP, Firewall, VPN, Lastbalancer, asw. Firewall an NAT. Am Netz hu virtuell Maschinnen fräi matenee kommunizéiert bannent Subnets. Wann Dir wierklech de Traffic opdeelen an iwwerwanne wëllt, kënnt Dir e separaten Netzwierk fir eenzel Deeler vun Uwendungen (verschidde virtuelle Maschinnen) maachen an déi entspriechend Regele fir hir Netzwierkinteraktioun an der Firewall setzen. Awer dëst ass laang, schwéier an oninteressant, besonnesch wann Dir e puer Dutzend virtuell Maschinnen hutt.
An NSX huet VMware d'Konzept vun der Mikro-Segmentatioun implementéiert mat enger verdeeler Firewall, déi an den Hypervisorkär gebaut ass. Et spezifizéiert Sécherheets- an Netzwierkinteraktiounspolitik net nëmme fir IP- a MAC Adressen, awer och fir aner Objeten: virtuell Maschinnen, Uwendungen. Wann NSX an enger Organisatioun ofgesat ass, kënnen dës Objekter e Benotzer oder Grupp vu Benotzer aus Active Directory sinn. All esou Objet gëtt an e Mikrosegment a senger eegener Sécherheetsschleife, am erfuerderleche Subnet, mat senger eegener gemittlecher DMZ :).
Virdrun war et nëmmen ee Sécherheetsperimeter fir de ganze Pool vu Ressourcen, geschützt vun engem Randschalter, awer mat NSX kënnt Dir eng separat virtuell Maschinn vun onnéideg Interaktiounen schützen, och am selwechte Netz.
Sécherheets- an Netzwierkpolitike passen sech un wann eng Entitéit an en anert Netzwierk plënnert. Zum Beispill, wa mir eng Maschinn mat enger Datebank an en anert Netzwierksegment oder souguer an en anert verbonne virtuellt Datenzenter réckelen, da gëllen d'Regele fir dës virtuell Maschinn geschriwwen, onofhängeg vu senger neier Plaz. Den Applikatiounsserver kann nach ëmmer mat der Datebank kommunizéieren.
De Randpaart selwer, vCNS vShield Edge, gouf duerch NSX Edge ersat. Et huet all gentlemanly Features vum alen Edge, plus e puer nei nëtzlech Funktiounen. Mir schwätzen iwwer si weider.
Wat ass nei mam NSX Edge?
NSX Edge Funktionalitéit hänkt dovun of
firewall. Dir kënnt IP Adressen, Netzwierker, Paart-Interfaces a virtuelle Maschinnen als Objekter auswielen, op déi d'Regele applizéiert ginn.
DHCP. Zousätzlech fir d'Palette vun IP Adressen ze konfiguréieren déi automatesch op virtuelle Maschinnen op dësem Netzwierk ausgestallt ginn, huet NSX Edge elo déi folgend Funktiounen: verbindlech и impressionéiert.
An der Tab Bindungen Dir kënnt d'MAC Adress vun enger virtueller Maschinn un eng IP Adress binden wann Dir d'IP Adress net ännert. Den Haapt Saach ass datt dës IP Adress net am DHCP Pool abegraff ass.
An der Tab impressionéiert Relais vun DHCP Messagen ass op DHCP Server konfiguréiert déi ausserhalb vun Ärer Organisatioun am vCloud Director sinn, dorënner DHCP Server vun der kierperlecher Infrastruktur.
Routing. vShield Edge konnt nëmmen statesch Routing konfiguréieren. Dynamesch Routing mat Ënnerstëtzung fir OSPF a BGP Protokoller erschéngen hei. ECMP (Aktiv-aktiv) Astellunge sinn och verfügbar ginn, dat heescht aktiv-aktive Failover op kierperlech Router.
OSPF opsetzen
Astelle BGP
Eng aner nei Saach ass den Transfert vu Strecken tëscht verschiddene Protokoller opzestellen,
Streck Ëmverdeelung.
L4/L7 Load Balancer. X-Forwarded-For gouf fir den HTTPs Header agefouert. Jiddereen huet ouni hien gekrasch. Zum Beispill hutt Dir eng Websäit déi Dir balancéiert. Ouni dës Header weiderzebréngen, funktionnéiert alles, awer an de Webserverstatistiken hutt Dir net d'IP vun de Besucher gesinn, mee d'IP vum Balancer. Elo ass alles richteg.
Och an der Applikatioun Regelen Tab kënnt Dir elo Skripte derbäisetzen déi direkt de Verkéiersbalancéiere kontrolléieren.
vpn. Zousätzlech zu IPSec VPN ënnerstëtzt NSX Edge:
- L2 VPN, wat Iech erlaabt Netzwierker tëscht geographesch verspreete Site ze strecken. Esou e VPN ass néideg, zum Beispill, fir datt wann Dir op eng aner Säit plënnert, déi virtuell Maschinn am selwechte Subnet bleift a seng IP Adress behält.
- SSL VPN Plus, wat d'Benotzer erlaabt op afstand mat engem Firmennetz ze verbannen. Um vSphere Niveau gouf et sou eng Funktioun, awer fir vCloud Director ass dëst eng Innovatioun.
SSL Certificaten. Certificaten kënnen elo um NSX Edge installéiert ginn. Dëst kënnt erëm op d'Fro, wien e Balancer ouni Zertifikat fir https gebraucht huet.
Gruppéiere vun Objeten. An dëser Reiter sinn Gruppe vun Objete spezifizéiert fir déi bestëmmte Reseau Interaktioun Regelen gëllen, Zum Beispill, Firewall Regelen.
Dës Objete kënnen IP- a MAC Adresse sinn.
Et gëtt och eng Lëscht vu Servicer (Protokoll-Port Kombinatioun) an Uwendungen déi benotzt kënne ginn wann Dir Firewall Regelen erstellt. Nëmmen de vCD Portal Administrateur kann nei Servicer an Uwendungen derbäi.
Statistiken. Verbindungsstatistik: Traffic deen duerch d'Paart passéiert, Firewall a Balancer.
Status a Statistike fir all IPSEC VPN an L2 VPN Tunnel.
Logged. An der Edge Settings Tab kënnt Dir de Server setzen fir Logbicher opzehuelen. Logging funktionnéiert fir DNAT / SNAT, DHCP, Firewall, Routing, Balancer, IPsec VPN, SSL VPN Plus.
Déi folgend Aarte vun Alarmer si fir all Objet / Service verfügbar:
- Debug
— Alarm
— Kritesch
- Feeler
- Warnung
- Notiz
— Info
NSX Edge Dimensiounen
Ofhängeg vun den Aufgaben déi geléist ginn an dem Volume vu VMware
NSX Edge
(Kompakt)
NSX Edge
(Grouss)
NSX Edge
(Quad-Large)
NSX Edge
(X-Large)
vCPU
1
2
4
6
Erënnerung
512MB
1GB
1GB
8GB
Scheif
512MB
512MB
512MB
4.5GB + 4GB
Rendez - vous
Eent
Applikatioun, test
Datenzenter
E klengt
oder duerchschnëttlech
Datenzenter
Lueden
firewall
Ausbalancéiere
Lueden um Niveau L7
Drënner an der Tabell sinn d'Betribsmetriken vun Netzwierkservicer ofhängeg vun der Gréisst vum NSX Edge.
NSX Edge
(Kompakt)
NSX Edge
(Grouss)
NSX Edge
(Quad-Large)
NSX Edge
(X-Large)
Schnëttplazen
10
10
10
10
Sub Interfaces (Trunk)
200
200
200
200
NAT Regelen
2,048
4,096
4,096
8,192
ARP Entréen
Bis Iwwerschreiwe
1,024
2,048
2,048
2,048
FW Regelen
2000
2000
2000
2000
FW Leeschtung
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP Pools
20,000
20,000
20,000
20,000
ECMP Weeër
8
8
8
8
Statesch Routes
2,048
2,048
2,048
2,048
LB Pools
64
64
64
1,024
LB Virtuell Serveren
64
64
64
1,024
LB Server/Pool
32
32
32
32
LB Gesondheet Kontrollen
320
320
320
3,072
LB Applikatioun Regelen
4,096
4,096
4,096
4,096
L2VPN Clienten Hub ze schwätzen
5
5
5
5
L2VPN Netzwierker pro Client / Server
200
200
200
200
IPSec Tunnel
512
1,600
4,096
6,000
SSLVPN Tunnel
50
100
100
1,000
SSLVPN Privat Netzwierker
16
16
16
16
Gläichzäiteg Sessiounen
64,000
1,000,000
1,000,000
1,000,000
Sessiounen / Sekonn
8,000
50,000
50,000
50,000
LB Duerchgang L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB Duerchgang L4 Modus)
6Gbps
6Gbps
6Gbps
LB Connections/s (L7 Proxy)
46,000
50,000
50,000
LB Concurrent Connections (L7 Proxy)
8,000
60,000
60,000
LB Connections/s (L4 Mode)
50,000
50,000
50,000
LB Concurrent Connections (L4 Mode)
600,000
1,000,000
1,000,000
BGP routes
20,000
50,000
250,000
250,000
BGP Noperen
10
20
100
100
BGP Routes ëmverdeelt
No Limit
No Limit
No Limit
No Limit
OSPF Routen
20,000
50,000
100,000
100,000
OSPF LSA Entréen Max 750 Typ-1
20,000
50,000
100,000
100,000
OSPF Adjacencies
10
20
40
40
OSPF Routes ëmverdeelt
2000
5000
20,000
20,000
Ganzen routes
20,000
50,000
250,000
250,000
→
D'Tabell weist datt et recommandéiert ass d'Balancen op NSX Edge fir produktiv Szenarien ze organiséieren nëmme vun der grousser Gréisst un.
Dat ass alles wat ech fir haut hunn. An de folgenden Deeler ginn ech am Detail duerch wéi all NSX Edge Netzwierkservice konfiguréiert gëtt.
Source: will.com