Ja paskatÄs uz jebkura ugunsmÅ«ra konfigurÄciju, visticamÄk, mÄs redzÄsim lapu ar daudzÄm IP adresÄm, portiem, protokoliem un apakÅ”tÄ«kliem. Å Ädi tiek klasiski ieviestas tÄ«kla droŔības politikas lietotÄju piekļuvei resursiem. SÄkumÄ viÅi cenÅ”as uzturÄt kÄrtÄ«bu konfigurÄcijÄ, bet pÄc tam darbinieki sÄk pÄrvietoties no nodaļas uz nodaļu, serveri vairojas un mainÄs viÅu lomas, parÄdÄs piekļuve dažÄdiem projektiem, kur tos parasti neļauj, un parÄdÄs simtiem nezinÄmu kazu ceļu.
Blakus dažiem noteikumiem, ja jums paveicas, ir komentÄri āVasja man lÅ«dza to izdarÄ«tā vai āÅ Ä« ir pÄreja uz DMZā. TÄ«kla administrators aiziet, un viss kļūst pilnÄ«gi neskaidrs. Tad kÄds nolÄma notÄ«rÄ«t Vasjas konfigurÄciju, un SAP avarÄja, jo Vasja reiz lÅ«dza Å”o piekļuvi, lai palaistu kaujas SAP.
Å odien es runÄÅ”u par VMware NSX risinÄjumu, kas palÄ«dz precÄ«zi piemÄrot tÄ«kla komunikÄcijas un droŔības politikas bez neskaidrÄ«bÄm ugunsmÅ«ra konfigurÄcijÄs. Es jums parÄdÄ«Å”u, kÄdas jaunas funkcijas ir parÄdÄ«juÅ”Äs salÄ«dzinÄjumÄ ar VMware iepriekÅ” minÄtajÄm funkcijÄm.
VMWare NSX ir virtualizÄcijas un droŔības platforma tÄ«kla pakalpojumiem. NSX atrisina marÅ”rutÄÅ”anas, komutÄcijas, slodzes lÄ«dzsvaroÅ”anas, ugunsmÅ«ra problÄmas un var paveikt daudzas citas interesantas lietas.
NSX ir paÅ”a VMware vCloud Networking and Security (vCNS) produkta un iegÄdÄtÄ Nicira NVP pÄctecis.
No vCNS uz NSX
IepriekÅ” klientam bija atseviŔķa vCNS vShield Edge virtuÄlÄ maŔīna mÄkonÄ«, kas izveidots uz VMware vCloud. Tas darbojÄs kÄ robežas vÄrteja, kurÄ bija iespÄjams konfigurÄt daudzas tÄ«kla funkcijas: NAT, DHCP, ugunsmÅ«ri, VPN, slodzes balansÄtÄju utt. vShield Edge ierobežoja virtuÄlÄs maŔīnas mijiedarbÄ«bu ar Ärpasauli saskaÅÄ ar noteikumiem, kas norÄdÄ«ti UgunsmÅ«ris un NAT. TÄ«klÄ virtuÄlÄs maŔīnas brÄ«vi sazinÄjÄs viena ar otru apakÅ”tÄ«klos. Ja jÅ«s patieÅ”Äm vÄlaties sadalÄ«t un iekarot trafiku, varat izveidot atseviŔķu tÄ«klu atseviŔķÄm lietojumprogrammu daļÄm (dažÄdÄm virtuÄlajÄm maŔīnÄm) un iestatÄ«t atbilstoÅ”us noteikumus to tÄ«kla mijiedarbÄ«bai ugunsmÅ«rÄ«. Bet tas ir garÅ”, sarežģīts un neinteresants, it Ä«paÅ”i, ja jums ir vairÄki desmiti virtuÄlo maŔīnu.
NSX VMware ieviesa mikrosegmentÄcijas koncepciju, izmantojot izplatÄ«tu ugunsmÅ«ri, kas iebÅ«vÄts hipervizora kodolÄ. Tas nosaka droŔības un tÄ«kla mijiedarbÄ«bas politikas ne tikai IP un MAC adresÄm, bet arÄ« citiem objektiem: virtuÄlajÄm maŔīnÄm, lietojumprogrammÄm. Ja NSX ir izvietots organizÄcijÄ, Å”ie objekti var bÅ«t Active Directory lietotÄjs vai lietotÄju grupa. Katrs Å”Äds objekts pÄrvÄrÅ”as par mikrosegmentu savÄ droŔības cilpÄ, vajadzÄ«gajÄ apakÅ”tÄ«klÄ, ar savu omulÄ«go DMZ :).
IepriekÅ” visam resursu kopumam bija tikai viens droŔības perimetrs, ko aizsargÄ malas slÄdzis, taÄu ar NSX jÅ«s varat aizsargÄt atseviŔķu virtuÄlo maŔīnu no nevajadzÄ«gas mijiedarbÄ«bas pat tajÄ paÅ”Ä tÄ«klÄ.
DroŔības un tÄ«kla politikas tiek pielÄgotas, ja entÄ«tija pÄriet uz citu tÄ«klu. PiemÄram, ja mÄs pÄrvietojam maŔīnu ar datu bÄzi uz citu tÄ«kla segmentu vai pat uz citu savienotu virtuÄlo datu centru, tad Å”ai virtuÄlajai maŔīnai rakstÄ«tie noteikumi turpinÄs darboties neatkarÄ«gi no tÄs jaunÄs atraÅ”anÄs vietas. Lietojumprogrammu serveris joprojÄm varÄs sazinÄties ar datu bÄzi.
Pati malas vÄrteja vCNS vShield Edge ir aizstÄta ar NSX Edge. Tam ir visas vecÄ Edge džentlmeniskÄs funkcijas, kÄ arÄ« dažas jaunas noderÄ«gas funkcijas. MÄs par tiem runÄsim tÄlÄk.
Kas jauns ar NSX Edge?
NSX Edge funkcionalitÄte ir atkarÄ«ga no
UgunsmÅ«ris. Varat atlasÄ«t IP adreses, tÄ«klus, vÄrtejas saskarnes un virtuÄlÄs maŔīnas kÄ objektus, kuriem tiks piemÄroti noteikumi.
DHCP. Papildus IP adreÅ”u diapazona konfigurÄÅ”anai, kas tiks automÄtiski izsniegtas virtuÄlajÄm maŔīnÄm Å”ajÄ tÄ«klÄ, NSX Edge tagad piedÄvÄ Å”Ädas funkcijas: SaistoÅ”s Šø relejs.
CilnÄ SaitÄm Varat saistÄ«t virtuÄlÄs maŔīnas MAC adresi ar IP adresi, ja IP adrese nav jÄmaina. Galvenais ir tas, ka Ŕī IP adrese nav iekļauta DHCP pÅ«lÄ.
CilnÄ relejs DHCP ziÅojumu pÄrraide ir konfigurÄta DHCP serveriem, kas atrodas Ärpus jÅ«su organizÄcijas vCloud Director, tostarp fiziskÄs infrastruktÅ«ras DHCP serveriem.
MarÅ”rutÄÅ”ana. vShield Edge varÄja konfigurÄt tikai statisku marÅ”rutÄÅ”anu. Å eit parÄdÄ«jÄs dinamiska marÅ”rutÄÅ”ana ar OSPF un BGP protokolu atbalstu. Ir kļuvuÅ”i pieejami arÄ« ECMP (Active-active) iestatÄ«jumi, kas nozÄ«mÄ aktÄ«vo-aktÄ«vo kļūmju pÄrslÄgÅ”anu uz fiziskajiem marÅ”rutÄtÄjiem.
OSPF iestatīŔana
BGP iestatīŔana
VÄl viena jauna lieta ir marÅ”rutu pÄrsÅ«tÄ«Å”anas iestatÄ«Å”ana starp dažÄdiem protokoliem,
marÅ”ruta pÄrdale.
L4/L7 slodzes balansÄtÄjs. X-Forwarded-For tika ieviests HTTPs galvenÄ. Visi raudÄja bez viÅa. PiemÄram, jums ir vietne, kuru lÄ«dzsvarojat. Bez Ŕīs galvenes pÄrsÅ«tÄ«Å”anas viss darbojas, bet tÄ«mekļa servera statistikÄ jÅ«s redzÄjÄt nevis apmeklÄtÄju IP, bet gan balansÄtÄja IP. Tagad viss ir pareizi.
ArÄ« cilnÄ Lietojumprogrammas noteikumi tagad varat pievienot skriptus, kas tieÅ”i kontrolÄs trafika lÄ«dzsvaroÅ”anu.
vpn. Papildus IPSec VPN NSX Edge atbalsta:
- L2 VPN, kas ļauj paplaÅ”inÄt tÄ«klus starp Ä£eogrÄfiski izkliedÄtÄm vietnÄm. Å Äds VPN ir nepiecieÅ”ams, piemÄram, lai, pÄrejot uz citu vietni, virtuÄlÄ maŔīna paliktu tajÄ paÅ”Ä apakÅ”tÄ«klÄ un saglabÄtu savu IP adresi.
- SSL VPN Plus, kas ļauj lietotÄjiem attÄlinÄti izveidot savienojumu ar korporatÄ«vo tÄ«klu. vSphere lÄ«menÄ« Å”Äda funkcija bija, bet vCloud Director tas ir jauninÄjums.
SSL sertifikÄti. SertifikÄtus tagad var instalÄt NSX Edge. Tas atkal nonÄk pie jautÄjuma, kam bija vajadzÄ«gs balansÄtÄjs bez https sertifikÄta.
Objektu grupÄÅ”ana. Å ajÄ cilnÄ ir norÄdÄ«tas objektu grupas, kurÄm tiks piemÄroti noteikti tÄ«kla mijiedarbÄ«bas noteikumi, piemÄram, ugunsmÅ«ra noteikumi.
Šie objekti var būt IP un MAC adreses.
Ir arÄ« saraksts ar pakalpojumiem (protokola-porta kombinÄcija) un lietojumprogrammÄm, kuras var izmantot, veidojot ugunsmÅ«ra noteikumus. Tikai vCD portÄla administrators var pievienot jaunus pakalpojumus un lietojumprogrammas.
Statistika. Savienojuma statistika: trafika, kas iet caur vÄrteju, ugunsmÅ«ri un balansÄtÄju.
Statuss un statistika katram IPSEC VPN un L2 VPN tunelim.
MežizstrÄde. CilnÄ Edge iestatÄ«jumi varat iestatÄ«t serveri žurnÄlu ierakstÄ«Å”anai. MežizstrÄde darbojas DNAT/SNAT, DHCP, ugunsmÅ«rim, marÅ”rutÄÅ”anai, lÄ«dzsvarotÄjam, IPsec VPN, SSL VPN Plus.
Katram objektam/pakalpojumam ir pieejami Å”Ädi brÄ«dinÄjumu veidi:
ā Atkļūdot
ā BrÄ«dinÄt
-Kritisks
- Kļūda
ā BrÄ«dinÄjums
ā PaziÅojums
ā InformÄcija
NSX malas izmÄri
AtkarÄ«bÄ no risinÄmajiem uzdevumiem un VMware apjoma
NSX Edge
(Kompakts)
NSX Edge
(Liels)
NSX Edge
(Äetrliels)
NSX Edge
(X liels)
vCPU
1
2
4
6
atmiÅa
512MB
1GB
1GB
8GB
Disks
512MB
512MB
512MB
4.5GB + 4GB
MÄrÄ·is
Viens
pielietojums, tests
datu centrs
Mazs
vai vidÄji
datu centrs
IelÄdÄts
ugunsmūris
BalansÄÅ”ana
slodzes L7 līmenī
ZemÄk tabulÄ ir norÄdÄ«ti tÄ«kla pakalpojumu darbÄ«bas rÄdÄ«tÄji atkarÄ«bÄ no NSX Edge izmÄra.
NSX Edge
(Kompakts)
NSX Edge
(Liels)
NSX Edge
(Äetrliels)
NSX Edge
(X liels)
Saskarnes
10
10
10
10
ApakŔsaskarnes (stumbra)
200
200
200
200
NAT noteikumi
2,048
4,096
4,096
8,192
ARP ieraksti
LÄ«dz pÄrrakstÄ«Å”anai
1,024
2,048
2,048
2,048
FW noteikumi
2000
2000
2000
2000
FW veiktspÄja
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP baseini
20,000
20,000
20,000
20,000
ECMP ceļi
8
8
8
8
Statiskie marŔruti
2,048
2,048
2,048
2,048
LB baseini
64
64
64
1,024
LB virtuÄlie serveri
64
64
64
1,024
LB serveris/baseins
32
32
32
32
LB veselÄ«bas pÄrbaudes
320
320
320
3,072
LB pieteikÅ”anÄs noteikumi
4,096
4,096
4,096
4,096
L2VPN klientu centrs, lai runÄtu
5
5
5
5
L2VPN tīkli katram klientam/serverim
200
200
200
200
IPSec tuneļi
512
1,600
4,096
6,000
SSLVPN tuneļi
50
100
100
1,000
SSLVPN privÄtie tÄ«kli
16
16
16
16
Vienlaicīgas sesijas
64,000
1,000,000
1,000,000
1,000,000
Sesijas/sekunde
8,000
50,000
50,000
50,000
LB caurlaidspÄja L7 starpniekserveris)
2.2Gbps
2.2Gbps
3Gbps
LB caurlaides L4 režīms)
6Gbps
6Gbps
6Gbps
LB savienojumi/-i (L7 starpniekserveris)
46,000
50,000
50,000
LB vienlaikus savienojumi (L7 starpniekserveris)
8,000
60,000
60,000
LB savienojumi/-i (L4 režīms)
50,000
50,000
50,000
LB vienlaikus savienojumi (L4 režīms)
600,000
1,000,000
1,000,000
BGP marŔruti
20,000
50,000
250,000
250,000
BGP kaimiÅi
10
20
100
100
PÄrdalÄ«ti BGP marÅ”ruti
No Limit
No Limit
No Limit
No Limit
OSPF marŔruti
20,000
50,000
100,000
100,000
OSPF LSA ieraksti Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF Blakus
10
20
40
40
OSPF marÅ”ruti pÄrdalÄ«ti
2000
5000
20,000
20,000
KopÄjie marÅ”ruti
20,000
50,000
250,000
250,000
ā
TabulÄ redzams, ka NSX Edge balansÄÅ”anu ieteicams organizÄt produktÄ«viem scenÄrijiem, tikai sÄkot no LielÄ izmÄra.
Tas ir viss, kas man Å”odien ir. NÄkamajÄs daļÄs es detalizÄti apskatÄ«Å”u, kÄ konfigurÄt katru NSX Edge tÄ«kla pakalpojumu.
Avots: www.habr.com