🥇VMware NSX pašiem mazākajiem. 1. daļa

Ja paskatās uz jebkura ugunsmūra konfigurāciju, visticamāk, mēs redzēsim lapu ar daudzām IP adresēm, portiem, protokoliem un apakštīkliem. Šādi tiek klasiski ieviestas tīkla drošības politikas lietotāju piekļuvei resursiem. Sākumā viņi cenšas uzturēt kārtību konfigurācijā, bet pēc tam darbinieki sāk pārvietoties no nodaļas uz nodaļu, serveri vairojas un mainās viņu lomas, parādās piekļuve dažādiem projektiem, kur tos parasti neļauj, un parādās simtiem nezināmu kazu ceļu.

Blakus dažiem noteikumiem, ja jums paveicas, ir komentāri “Vasja man lūdza to izdarīt” vai “Šī ir pāreja uz DMZ”. Tīkla administrators aiziet, un viss kļūst pilnīgi neskaidrs. Tad kāds nolēma notīrīt Vasjas konfigurāciju, un SAP avarēja, jo Vasja reiz lūdza šo piekļuvi, lai palaistu kaujas SAP.

Šodien es runāšu par VMware NSX risinājumu, kas palīdz precīzi piemērot tīkla komunikācijas un drošības politikas bez neskaidrībām ugunsmūra konfigurācijās. Es jums parādīšu, kādas jaunas funkcijas ir parādījušās salīdzinājumā ar VMware iepriekš minētajām funkcijām.

VMWare NSX ir virtualizācijas un drošības platforma tīkla pakalpojumiem. NSX atrisina maršrutēšanas, komutācijas, slodzes līdzsvarošanas, ugunsmūra problēmas un var paveikt daudzas citas interesantas lietas.

NSX ir paša VMware vCloud Networking and Security (vCNS) produkta un iegādātā Nicira NVP pēctecis.

No vCNS uz NSX

Iepriekš klientam bija atsevišķa vCNS vShield Edge virtuālā mašīna mākonī, kas izveidots uz VMware vCloud. Tas darbojās kā robežas vārteja, kurā bija iespējams konfigurēt daudzas tīkla funkcijas: NAT, DHCP, ugunsmūri, VPN, slodzes balansētāju utt. vShield Edge ierobežoja virtuālās mašīnas mijiedarbību ar ārpasauli saskaņā ar noteikumiem, kas norādīti Ugunsmūris un NAT. Tīklā virtuālās mašīnas brīvi sazinājās viena ar otru apakštīklos. Ja jūs patiešām vēlaties sadalīt un iekarot trafiku, varat izveidot atsevišķu tīklu atsevišķām lietojumprogrammu daļām (dažādām virtuālajām mašīnām) un iestatīt atbilstošus noteikumus to tīkla mijiedarbībai ugunsmūrī. Bet tas ir garš, sarežģīts un neinteresants, it īpaši, ja jums ir vairāki desmiti virtuālo mašīnu.

NSX VMware ieviesa mikrosegmentācijas koncepciju, izmantojot izplatītu ugunsmūri, kas iebūvēts hipervizora kodolā. Tas nosaka drošības un tīkla mijiedarbības politikas ne tikai IP un MAC adresēm, bet arī citiem objektiem: virtuālajām mašīnām, lietojumprogrammām. Ja NSX ir izvietots organizācijā, šie objekti var būt Active Directory lietotājs vai lietotāju grupa. Katrs šāds objekts pārvēršas par mikrosegmentu savā drošības cilpā, vajadzīgajā apakštīklā, ar savu omulīgo DMZ :).

Iepriekš visam resursu kopumam bija tikai viens drošības perimetrs, ko aizsargā malas slēdzis, taču ar NSX jūs varat aizsargāt atsevišķu virtuālo mašīnu no nevajadzīgas mijiedarbības pat tajā pašā tīklā.

Drošības un tīkla politikas tiek pielāgotas, ja entītija pāriet uz citu tīklu. Piemēram, ja mēs pārvietojam mašīnu ar datu bāzi uz citu tīkla segmentu vai pat uz citu savienotu virtuālo datu centru, tad šai virtuālajai mašīnai rakstītie noteikumi turpinās darboties neatkarīgi no tās jaunās atrašanās vietas. Lietojumprogrammu serveris joprojām varēs sazināties ar datu bāzi.

Pati malas vārteja vCNS vShield Edge ir aizstāta ar NSX Edge. Tam ir visas vecā Edge džentlmeniskās funkcijas, kā arī dažas jaunas noderīgas funkcijas. Mēs par tiem runāsim tālāk.

Kas jauns ar NSX Edge?

NSX Edge funkcionalitāte ir atkarīga no izdevums NSX. Ir pieci no tiem: Standarta, Profesionāls, Uzlabots, Enterprise, Plus Remote Branch Office. Visu jauno un interesanto var redzēt tikai sākot ar Advanced. Ietverot jaunu saskarni, kas, līdz vCloud pilnībā pāriet uz HTML5 (VMware sola 2019. gada vasaru), tiek atvērta jaunā cilnē.

Ugunsmūris. Varat atlasīt IP adreses, tīklus, vārtejas saskarnes un virtuālās mašīnas kā objektus, kuriem tiks piemēroti noteikumi.

DHCP. Papildus IP adrešu diapazona konfigurēšanai, kas tiks automātiski izsniegtas virtuālajām mašīnām šajā tīklā, NSX Edge tagad piedāvā šādas funkcijas: Saistošs и relejs.

Cilnē Saitēm Varat saistīt virtuālās mašīnas MAC adresi ar IP adresi, ja IP adrese nav jāmaina. Galvenais ir tas, ka šī IP adrese nav iekļauta DHCP pūlā.

Cilnē relejs DHCP ziņojumu pārraide ir konfigurēta DHCP serveriem, kas atrodas ārpus jūsu organizācijas vCloud Director, tostarp fiziskās infrastruktūras DHCP serveriem.

Maršrutēšana. vShield Edge varēja konfigurēt tikai statisku maršrutēšanu. Šeit parādījās dinamiska maršrutēšana ar OSPF un BGP protokolu atbalstu. Ir kļuvuši pieejami arī ECMP (Active-active) iestatījumi, kas nozīmē aktīvo-aktīvo kļūmju pārslēgšanu uz fiziskajiem maršrutētājiem.

OSPF iestatīšana

BGP iestatīšana

Vēl viena jauna lieta ir maršrutu pārsūtīšanas iestatīšana starp dažādiem protokoliem,
maršruta pārdale.

L4/L7 slodzes balansētājs. X-Forwarded-For tika ieviests HTTPs galvenē. Visi raudāja bez viņa. Piemēram, jums ir vietne, kuru līdzsvarojat. Bez šīs galvenes pārsūtīšanas viss darbojas, bet tīmekļa servera statistikā jūs redzējāt nevis apmeklētāju IP, bet gan balansētāja IP. Tagad viss ir pareizi.

Arī cilnē Lietojumprogrammas noteikumi tagad varat pievienot skriptus, kas tieši kontrolēs trafika līdzsvarošanu.

vpn. Papildus IPSec VPN NSX Edge atbalsta:

L2 VPN, kas ļauj paplašināt tīklus starp ģeogrāfiski izkliedētām vietnēm. Šāds VPN ir nepieciešams, piemēram, lai, pārejot uz citu vietni, virtuālā mašīna paliktu tajā pašā apakštīklā un saglabātu savu IP adresi.

SSL VPN Plus, kas ļauj lietotājiem attālināti izveidot savienojumu ar korporatīvo tīklu. vSphere līmenī šāda funkcija bija, bet vCloud Director tas ir jauninājums.

SSL sertifikāti. Sertifikātus tagad var instalēt NSX Edge. Tas atkal nonāk pie jautājuma, kam bija vajadzīgs balansētājs bez https sertifikāta.

Objektu grupēšana. Šajā cilnē ir norādītas objektu grupas, kurām tiks piemēroti noteikti tīkla mijiedarbības noteikumi, piemēram, ugunsmūra noteikumi.

Šie objekti var būt IP un MAC adreses.

Ir arī saraksts ar pakalpojumiem (protokola-porta kombinācija) un lietojumprogrammām, kuras var izmantot, veidojot ugunsmūra noteikumus. Tikai vCD portāla administrators var pievienot jaunus pakalpojumus un lietojumprogrammas.

Statistika. Savienojuma statistika: trafika, kas iet caur vārteju, ugunsmūri un balansētāju.

Statuss un statistika katram IPSEC VPN un L2 VPN tunelim.

Mežizstrāde. Cilnē Edge iestatījumi varat iestatīt serveri žurnālu ierakstīšanai. Mežizstrāde darbojas DNAT/SNAT, DHCP, ugunsmūrim, maršrutēšanai, līdzsvarotājam, IPsec VPN, SSL VPN Plus.

Katram objektam/pakalpojumam ir pieejami šādi brīdinājumu veidi:

— Atkļūdot
— Brīdināt
-Kritisks
- Kļūda
— Brīdinājums
— Paziņojums
— Informācija

NSX malas izmēri

Atkarībā no risināmajiem uzdevumiem un VMware apjoma iesaka izveidojiet NSX Edge šādos izmēros:

NSX Edge
(Kompakts)

NSX Edge
(Liels)

NSX Edge
(četrliels)

NSX Edge
(X liels)

vCPU

atmiņa

512MB

1GB

8GB

Disks

512MB

4.5GB + 4GB

Mērķis

Viens
pielietojums, tests
datu centrs

Mazs
vai vidēji
datu centrs

Ielādēts
ugunsmūris

Balansēšana
slodzes L7 līmenī

Zemāk tabulā ir norādīti tīkla pakalpojumu darbības rādītāji atkarībā no NSX Edge izmēra.

NSX Edge
(Kompakts)

NSX Edge
(Liels)

NSX Edge
(četrliels)

NSX Edge
(X liels)

Saskarnes

Apakšsaskarnes (stumbra)

200

NAT noteikumi

2,048

4,096

8,192

ARP ieraksti
Līdz pārrakstīšanai

1,024

2,048

FW noteikumi

2000

FW veiktspēja

3Gbps

9.7Gbps

DHCP baseini

20,000

ECMP ceļi

Statiskie maršruti

2,048

LB baseini

1,024

LB virtuālie serveri

1,024

LB serveris/baseins

LB veselības pārbaudes

320

3,072

LB pieteikšanās noteikumi

4,096

L2VPN klientu centrs, lai runātu

L2VPN tīkli katram klientam/serverim

200

IPSec tuneļi

512

1,600

4,096

6,000

SSLVPN tuneļi

100

1,000

SSLVPN privātie tīkli

Vienlaicīgas sesijas

64,000

1,000,000

Sesijas/sekunde

8,000

50,000

LB caurlaidspēja L7 starpniekserveris)

2.2Gbps

3Gbps

LB caurlaides L4 režīms)

6Gbps

LB savienojumi/-i (L7 starpniekserveris)

46,000

50,000

LB vienlaikus savienojumi (L7 starpniekserveris)

8,000

60,000

LB savienojumi/-i (L4 režīms)

50,000

LB vienlaikus savienojumi (L4 režīms)

600,000

1,000,000

BGP maršruti

20,000

50,000

250,000

BGP kaimiņi

100

Pārdalīti BGP maršruti

No Limit

OSPF maršruti

20,000

50,000

100,000

OSPF LSA ieraksti Max 750 Type-1

20,000

50,000

100,000

OSPF Blakus

OSPF maršruti pārdalīti

2000

5000

20,000

Kopējie maršruti

20,000

50,000

250,000

→ Avots

Tabulā redzams, ka NSX Edge balansēšanu ieteicams organizēt produktīviem scenārijiem, tikai sākot no Lielā izmēra.

Tas ir viss, kas man šodien ir. Nākamajās daļās es detalizēti apskatīšu, kā konfigurēt katru NSX Edge tīkla pakalpojumu.

Avots: www.habr.com

VMware NSX mazajiem. 1. daļa

No vCNS uz NSX

Kas jauns ar NSX Edge?

NSX malas izmēri

Pievieno komentāru Atcelt atbildi