Jei pažvelgsite į bet kurios ugniasienės konfigūraciją, greičiausiai pamatysime lapą su daugybe IP adresų, prievadų, protokolų ir potinklių. Taip klasikiniu būdu įgyvendinamos tinklo saugumo strategijos, skirtos vartotojų prieigai prie išteklių. Iš pradžių bandoma palaikyti tvarką konfigūracijoje, bet vėliau darbuotojai pradeda judėti iš skyriaus į skyrių, serveriai dauginasi ir keičiasi savo vaidmenimis, atsiranda prieiga prie įvairių projektų ten, kur dažniausiai neleidžiama, atsiranda šimtai nežinomų ožkų takų.
Šalia kai kurių taisyklių, jei jums pasisekė, yra komentarai „Vasya paprašė manęs tai padaryti“ arba „Tai yra ištrauka į DMZ“. Tinklo administratorius išeina ir viskas tampa visiškai neaišku. Tada kažkas nusprendė išvalyti Vasya konfigūraciją ir SAP sudužo, nes Vasya kartą paprašė šios prieigos, kad galėtų paleisti kovinę SAP.
Šiandien kalbėsiu apie VMware NSX sprendimą, kuris padeda tiksliai pritaikyti tinklo ryšio ir saugumo politiką be painiavos ugniasienės konfigūracijose. Parodysiu, kokios naujos funkcijos atsirado, palyginti su tuo, ką anksčiau šioje dalyje turėjo VMware.
VMWare NSX yra tinklo paslaugų virtualizacijos ir saugos platforma. NSX išsprendžia maršruto parinkimo, perjungimo, apkrovos balansavimo, ugniasienės problemas ir gali atlikti daug kitų įdomių dalykų.
NSX yra pačios VMware vCloud tinklo ir saugos (vCNS) produkto ir įsigyto Nicira NVP įpėdinis.
Nuo vCNS iki NSX
Anksčiau klientas turėjo atskirą „vCNS vShield Edge“ virtualią mašiną debesyje, sukurtoje „VMware vCloud“. Jis veikė kaip sienos vartai, kuriuose buvo galima sukonfigūruoti daugybę tinklo funkcijų: NAT, DHCP, ugniasienės, VPN, apkrovos balansavimo priemonės ir kt. vShield Edge apribojo virtualios mašinos sąveiką su išoriniu pasauliu pagal taisykles, nurodytas Ugniasienė ir NAT. Tinklo viduje virtualios mašinos laisvai bendravo viena su kita potinkliuose. Jei tikrai norite padalyti ir užkariauti srautą, galite sukurti atskirą tinklą atskiroms programų dalims (skirtingoms virtualioms mašinoms) ir užkardoje nustatyti atitinkamas jų tinklo sąveikos taisykles. Bet tai ilga, sunku ir neįdomu, ypač kai turite kelias dešimtis virtualių mašinų.
NSX sistemoje VMware įdiegė mikrosegmentavimo koncepciją, naudodama paskirstytą ugniasienę, įmontuotą hipervizoriaus branduolyje. Jis nurodo saugumo ir tinklo sąveikos politiką ne tik IP ir MAC adresams, bet ir kitiems objektams: virtualioms mašinoms, programoms. Jei NSX yra įdiegtas organizacijoje, šie objektai gali būti vartotojas arba vartotojų grupė iš Active Directory. Kiekvienas toks objektas virsta mikrosegmentu savo saugumo kilpoje, reikiamame potinklyje, su savo jaukiu DMZ :).
Anksčiau visam išteklių telkiniui buvo tik vienas saugos perimetras, apsaugotas krašto jungikliu, tačiau su NSX galite apsaugoti atskirą virtualią mašiną nuo nereikalingų sąveikų net tame pačiame tinkle.
Saugos ir tinklo strategijos pritaikomos, jei subjektas persikelia į kitą tinklą. Pavyzdžiui, jei mašiną su duomenų baze perkelsime į kitą tinklo segmentą ar net į kitą prijungtą virtualų duomenų centrą, tai šiai virtualiai mašinai parašytos taisyklės ir toliau galios nepriklausomai nuo naujos jos vietos. Programos serveris vis tiek galės susisiekti su duomenų baze.
Pats krašto šliuzas, vCNS vShield Edge, buvo pakeistas NSX Edge. Jame yra visos džentelmeniškos senojo „Edge“ funkcijos ir keletas naujų naudingų funkcijų. Apie juos kalbėsime toliau.
Kas naujo su NSX Edge?
NSX Edge funkcionalumas priklauso nuo NSX. Jų yra penki: standartinis, profesionalus, išplėstinis, įmonė, plius nuotolinis filialas. Viską naujo ir įdomaus galima pamatyti tik pradedant Advanced. Įskaitant naują sąsają, kuri, kol „vCloud“ visiškai nepersijungs į HTML5 (VMware žada 2019 m. vasarą), atidaroma naujame skirtuke.
Ugniasienė. Galite pasirinkti IP adresus, tinklus, šliuzo sąsajas ir virtualias mašinas kaip objektus, kuriems bus taikomos taisyklės.
DHCP. Be IP adresų, kurie bus automatiškai išduodami šio tinklo virtualiosioms mašinoms, diapazono konfigūravimo, NSX Edge dabar turi šias funkcijas: Įpareigojantis и relė.
Skirtuke Bindings Galite susieti virtualiosios mašinos MAC adresą su IP adresu, jei reikia, kad IP adresas nepasikeistų. Svarbiausia, kad šis IP adresas neįtrauktas į DHCP telkinį.
Skirtuke relė DHCP pranešimų perdavimas sukonfigūruotas DHCP serveriams, esantiems už jūsų organizacijos „vCloud Director“, įskaitant fizinės infrastruktūros DHCP serverius.
Maršrutas. „vShield Edge“ galėjo konfigūruoti tik statinį maršrutą. Čia pasirodė dinaminis maršrutas su OSPF ir BGP protokolų palaikymu. Taip pat tapo prieinami ECMP (Active-active) nustatymai, o tai reiškia, kad aktyvus-aktyvus perjungimas į fizinius maršrutizatorius.
OSPF nustatymas
BGP nustatymas
Kitas naujas dalykas – maršrutų perdavimo tarp skirtingų protokolų nustatymas,
maršruto perskirstymas.
L4/L7 apkrovos balansavimo priemonė. X-Forwarded-For buvo pristatytas HTTPs antraštei. Visi verkė be jo. Pavyzdžiui, turite svetainę, kurią balansuojate. Nepersiunčiant šios antraštės viskas veikia, tačiau žiniatinklio serverio statistikoje matėte ne lankytojų IP, o balansuotojo IP. Dabar viskas teisinga.
Taip pat skirtuke Taikymo taisyklės dabar galite įtraukti scenarijus, kurie tiesiogiai valdys srauto balansavimą.
VPT. Be IPSec VPN, NSX Edge palaiko:
- L2 VPN, leidžiantis išplėsti tinklus tarp geografiškai išsklaidytų svetainių. Toks VPN reikalingas, pavyzdžiui, kad persikėlus į kitą svetainę virtuali mašina liktų tame pačiame potinklyje ir išlaikytų savo IP adresą.
- SSL VPN Plus, leidžiantis vartotojams nuotoliniu būdu prisijungti prie įmonės tinklo. „vSphere“ lygiu tokia funkcija buvo, tačiau „vCloud Director“ tai yra naujovė.
SSL sertifikatai. Sertifikatus dabar galima įdiegti NSX Edge. Čia vėl kyla klausimas, kam reikėjo balansyro be https sertifikato.
Objektų grupavimas. Šiame skirtuke nurodomos objektų grupės, kurioms bus taikomos tam tikros tinklo sąveikos taisyklės, pavyzdžiui, ugniasienės taisyklės.
Šie objektai gali būti IP ir MAC adresai.
Taip pat yra paslaugų (protokolo ir prievado derinys) ir programų, kurias galima naudoti kuriant ugniasienės taisykles, sąrašas. Tik vCD portalo administratorius gali pridėti naujų paslaugų ir programų.
Statistika. Ryšio statistika: srautas, einantis per šliuzą, ugniasienę ir balansavimo priemonę.
Kiekvieno IPSEC VPN ir L2 VPN tunelio būsena ir statistika.
Miško ruoša. Skirtuke „Edge Settings“ galite nustatyti, kad serveris įrašytų žurnalus. Registravimas veikia DNAT/SNAT, DHCP, ugniasienės, maršruto parinkimo, balansavimo, IPsec VPN, SSL VPN Plus.
Kiekvienam objektui / paslaugai galimi šių tipų įspėjimai:
— Derinimas
-Budrus
– Kritinis
- Klaida
— Įspėjimas
- Pastebėti
— Informacija
NSX krašto matmenys
Priklausomai nuo sprendžiamų užduočių ir VMware apimties sukurkite šių dydžių NSX Edge:
NSX kraštas
(Kompaktiška)
NSX kraštas
(Didelis)
NSX kraštas
(Keturių didelių)
NSX kraštas
(X didelis)
vCPU
1
2
4
6
atmintis
512MB
1GB
1GB
8GB
Diskas
512MB
512MB
512MB
4.5GB + 4GB
Paskyrimas
Vienas
taikymas, testas
duomenų centras
Mažas
arba vidutinis
duomenų centras
Pakrauta
ugniasienė
Balansavimas
apkrovos lygiu L7
Žemiau esančioje lentelėje yra tinklo paslaugų veikimo metrika, priklausomai nuo NSX Edge dydžio.
NSX kraštas
(Kompaktiška)
NSX kraštas
(Didelis)
NSX kraštas
(Keturių didelių)
NSX kraštas
(X didelis)
sąsajos
10
10
10
10
Papildomos sąsajos (magistralinė)
200
200
200
200
NAT taisyklės
2,048
4,096
4,096
8,192
ARP įrašai
Iki perrašymo
1,024
2,048
2,048
2,048
FW taisyklės
2000
2000
2000
2000
FW našumas
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP baseinai
20,000
20,000
20,000
20,000
ECMP keliai
8
8
8
8
Statiniai maršrutai
2,048
2,048
2,048
2,048
LB baseinai
64
64
64
1,024
LB virtualūs serveriai
64
64
64
1,024
LB serveris / baseinas
32
32
32
32
LB sveikatos patikrinimai
320
320
320
3,072
LB taikymo taisyklės
4,096
4,096
4,096
4,096
L2VPN klientų centras, skirtas kalbėti
5
5
5
5
L2VPN tinklai vienam klientui / serveriui
200
200
200
200
IPSec tuneliai
512
1,600
4,096
6,000
SSLVPN tuneliai
50
100
100
1,000
SSLVPN privatūs tinklai
16
16
16
16
Kartu vykstantys seansai
64,000
1,000,000
1,000,000
1,000,000
Seansai / sekundė
8,000
50,000
50,000
50,000
LB pralaidumo L7 tarpinis serveris)
2.2Gbps
2.2Gbps
3Gbps
LB pralaidumo L4 režimas)
6Gbps
6Gbps
6Gbps
LB jungtys / ryšiai (L7 tarpinis serveris)
46,000
50,000
50,000
LB lygiagreti ryšiai (L7 tarpinis serveris)
8,000
60,000
60,000
LB jungtys/s (L4 režimas)
50,000
50,000
50,000
LB lygiagreti ryšiai (L4 režimas)
600,000
1,000,000
1,000,000
BGP maršrutai
20,000
50,000
250,000
250,000
BGP kaimynai
10
20
100
100
BGP maršrutai perskirstyti
no Limit
no Limit
no Limit
no Limit
OSPF maršrutai
20,000
50,000
100,000
100,000
OSPF LSA įrašai Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF gretimybės
10
20
40
40
OSPF maršrutai perskirstyti
2000
5000
20,000
20,000
Iš viso maršrutų
20,000
50,000
250,000
250,000
→
Lentelėje parodyta, kad NSX Edge balansavimą rekomenduojama organizuoti produktyviuose scenarijuose tik pradedant nuo didelio dydžio.
Tai viskas, ką šiandien turiu. Tolesnėse dalyse išsamiai aprašysiu, kaip sukonfigūruoti kiekvieną NSX Edge tinklo paslaugą.
Šaltinis: www.habr.com