VMware NSX за најмалите. Дел 1

Ако ја погледнете конфигурацијата на кој било заштитен ѕид, тогаш најверојатно ќе видиме лист со куп IP адреси, порти, протоколи и подмрежи. Така класично се имплементираат мрежни безбедносни политики за кориснички пристап до ресурси. Отпрвин се обидуваат да го одржат редот во конфигурацијата, но потоа вработените почнуваат да се движат од оддел до оддел, серверите се множат и ги менуваат своите улоги, се појавува пристап за различни проекти каде што обично не им е дозволено, а се појавуваат стотици непознати патеки за кози.

До некои правила, ако имате среќа, има коментари „Васија ме замоли да го направам тоа“ или „Ова е премин до DMZ“. Администраторот на мрежата се откажува и сè станува целосно нејасно. Тогаш некој реши да ја исчисти конфигурацијата на Васија и SAP падна, затоа што Васија еднаш го побара овој пристап за да го изврши борбениот SAP.

Денес ќе зборувам за решението VMware NSX, кое помага прецизно да се применат мрежните комуникациски и безбедносни политики без забуна во конфигурациите на заштитниот ѕид. Ќе ви покажам кои нови функции се појавија во споредба со она што претходно го имаше VMware во овој дел.

VMWare NSX е виртуелизација и безбедносна платформа за мрежни услуги. NSX решава проблеми со рутирање, префрлување, балансирање на оптоварување, заштитен ѕид и може да направи многу други интересни работи.

NSX е наследник на сопствениот vCloud Networking and Security (vCNS) производ на VMware и стекнатиот Nicira NVP.

Од vCNS до NSX

Претходно, клиентот имаше посебна виртуелна машина vCNS vShield Edge во облак изграден на VMware vCloud. Тој дејствуваше како гранична порта, каде што беше можно да се конфигурираат многу мрежни функции: NAT, DHCP, Firewall, VPN, load balancer, итн. vShield Edge ја ограничи интеракцијата на виртуелната машина со надворешниот свет според правилата наведени во Заштитен ѕид и NAT. Во рамките на мрежата, виртуелните машини комуницираа меѓу себе слободно во подмрежите. Ако навистина сакате да го поделите и освоите сообраќајот, можете да направите посебна мрежа за поединечни делови од апликациите (различни виртуелни машини) и да поставите соодветни правила за нивната мрежна интеракција во заштитниот ѕид. Но, ова е долго, тешко и неинтересно, особено кога имате неколку десетици виртуелни машини.

Во NSX, VMware го имплементира концептот на микросегментација користејќи дистрибуиран заштитен ѕид вграден во јадрото на хипервизорот. Ги специфицира безбедносните и мрежните политики за интеракција не само за IP и MAC адресите, туку и за други објекти: виртуелни машини, апликации. Ако NSX е распореден во организација, овие објекти може да бидат корисник или група корисници од Active Directory. Секој таков објект се претвора во микросегмент во сопствената безбедносна јамка, во потребната подмрежа, со свој пријатен DMZ :).

Претходно, имаше само еден безбедносен периметар за целиот фонд на ресурси, заштитен со прекинувач на рабовите, но со NSX можете да заштитите посебна виртуелна машина од непотребни интеракции, дури и во истата мрежа.

Политиките за безбедност и вмрежување се прилагодуваат ако ентитет се пресели во друга мрежа. На пример, ако преместиме машина со база на податоци во друг мрежен сегмент или дури и во друг поврзан виртуелен центар за податоци, тогаш правилата напишани за оваа виртуелна машина ќе продолжат да важат без оглед на нејзината нова локација. Апликацискиот сервер сè уште ќе може да комуницира со базата на податоци.

Самата порта на рабовите, vCNS vShield Edge, е заменета со NSX Edge. Ги има сите џентлменски карактеристики на стариот Edge, плус неколку нови корисни функции. За нив ќе зборуваме понатаму.

Што е ново со NSX Edge?

Функционалноста на NSX Edge зависи од издание NSX. Има пет од нив: Стандардна, Професионална, Напредна, Претпријатие, Плус далечинска експозитура. Сè ново и интересно може да се види само почнувајќи од Advanced. Вклучувајќи нов интерфејс, кој додека vCloud целосно не се префрли на HTML5 (VMware ветува лето 2019 година), се отвора во ново јазиче.

Заштитен allид. Можете да изберете IP адреси, мрежи, интерфејси за порти и виртуелни машини како објекти на кои ќе се применуваат правилата.

DHCP. Покрај конфигурирањето на опсегот на IP адреси што автоматски ќе се издаваат на виртуелните машини на оваа мрежа, NSX Edge сега ги има следните функции: Задолжителната и реле.

Во јазичето Поврзувања Може да ја поврзете MAC-адресата на виртуелната машина со IP адреса ако треба IP адресата да не се менува. Главната работа е што оваа IP адреса не е вклучена во базенот DHCP.

Во јазичето реле релето на DHCP пораки е конфигурирано на DHCP сервери кои се наоѓаат надвор од вашата организација во vCloud Director, вклучувајќи ги и DHCP серверите на физичката инфраструктура.

Рутирање. vShield Edge можеше само да конфигурира статичко рутирање. Овде се појави динамично рутирање со поддршка за протоколи OSPF и BGP. Достапни се и поставките ECMP (Active-active), што значи активно-активно откажување на физичките рутери.

Поставување на OSPF

Поставување на BGP

Друга нова работа е поставувањето на пренос на правци помеѓу различни протоколи,
прераспределба на рутата.

L4/L7 Load Balancer. X-Forwarded-For беше воведен за заглавието на HTTP. Сите плачеа без него. На пример, имате веб-локација што ја балансирате. Без препраќање на ова заглавие, сè работи, но во статистиката на веб-серверот не ја видовте IP-а на посетителите, туку IP-а на балансерот. Сега се е во ред.

Исто така, во табулаторот Правила за апликација, сега можете да додавате скрипти кои директно ќе го контролираат балансирањето на сообраќајот.

vpn. Покрај IPSec VPN, NSX Edge поддржува:

• L2 VPN, кој ви овозможува да ги истегнете мрежите помеѓу географски дисперзирани локации. Таков VPN е потребен, на пример, така што кога се префрла на друга локација, виртуелната машина останува во истата подмрежа и ја задржува својата IP адреса.

• SSL VPN Plus, кој им овозможува на корисниците да се поврзат од далечина на корпоративна мрежа. На ниво vSphere имаше таква функција, но за vCloud Director ова е иновација.

SSL сертификати. Сертификатите сега може да се инсталираат на NSX Edge. Ова повторно доаѓа до прашањето на кого му требаше балансер без сертификат за https.

Групирање на објекти. Во овој таб, групи на објекти се наведени за кои ќе се применуваат одредени правила за мрежна интеракција, на пример, правила за заштитен ѕид.

Овие објекти можат да бидат IP и MAC адреси.

 


Исто така, постои листа на услуги (комбинација на протокол-порта) и апликации кои можат да се користат при креирање правила за заштитен ѕид. Само администраторот на порталот vCD може да додава нови услуги и апликации.

 


Статистика. Статистика за поврзување: сообраќај што минува низ портата, заштитен ѕид и балансер.

Статус и статистика за секој IPSEC VPN и L2 VPN тунел.

Сеча. Во табулаторот Edge Settings, можете да го поставите серверот за снимање дневници. Логирањето работи за DNAT/SNAT, DHCP, Firewall, рутирање, балансер, IPsec VPN, SSL VPN Plus.
 
Следниве типови на предупредувања се достапни за секој објект/услуга:

- Дебагирање
- Алармирање
– Критично
- Грешка
-Предупредување
- Забележете
- Информации

NSX Edge Димензии

Во зависност од задачите што се решаваат и обемот на VMware препорачува креирајте NSX Edge во следните големини:

NSX Edge
(компактен)

NSX Edge
(Големи)

NSX Edge
(четири-големи)

NSX Edge
(X-Large)

vCPU

1

2

4

6

Меморија

512MB

1GB

1GB

8GB

Диск

512MB

512MB

512MB

4.5GB + 4GB

Именување

Еден
апликација, тест
на Центарот за податоци

Мали
или просечно
на Центарот за податоци

Вчитано
заштитен ѕид

Балансирање
оптоварувања на ниво L7

Подолу во табелата се дадени оперативните метрики на мрежните услуги во зависност од големината на NSX Edge.

NSX Edge
(компактен)

NSX Edge
(Големи)

NSX Edge
(четири-големи)

NSX Edge
(X-Large)

Интерфејси

10

10

10

10

Под-интерфејси (багажникот)

200

200

200

200

NAT правила

2,048

4,096

4,096

8,192

ARP записи
До Презапишување

1,024

2,048

2,048

2,048

Правила на FW

2000

2000

2000

2000

Перформанси на FW

3Gbps

9.7Gbps

9.7Gbps

9.7Gbps

DHCP базени

20,000

20,000

20,000

20,000

ECMP Патеки

8

8

8

8

Статички рути

2,048

2,048

2,048

2,048

ЛБ базени

64

64

64

1,024

LB виртуелни сервери

64

64

64

1,024

LB сервер / базен

32

32

32

32

Здравствени проверки на ЛБ

320

320

320

3,072

Правила за апликација LB

4,096

4,096

4,096

4,096

L2VPN Клиенти Центар за зборување

5

5

5

5

L2VPN мрежи по клиент/сервер

200

200

200

200

IPSec тунели

512

1,600

4,096

6,000

SSLVPN тунели

50

100

100

1,000

SSLVPN приватни мрежи

16

16

16

16

Истовремени сесии

64,000

1,000,000

1,000,000

1,000,000

Сесии/Второ

8,000

50,000

50,000

50,000

LB пропусен L7 прокси)

2.2Gbps

2.2Gbps

3Gbps

LB Пропусен режим L4)

6Gbps

6Gbps

6Gbps

LB врски/и (L7 прокси)

46,000

50,000

50,000

LB истовремени врски (L7 прокси)

8,000

60,000

60,000

LB врски/и (режим L4)

50,000

50,000

50,000

LB истовремени врски (режим L4)

600,000

1,000,000

1,000,000

BGP рути

20,000

50,000

250,000

250,000

БГП Соседи

10

20

100

100

BGP правци се прераспределени

Нема ограничување

Нема ограничување

Нема ограничување

Нема ограничување

OSPF правци

20,000

50,000

100,000

100,000

OSPF LSA записи Макс 750 Тип-1

20,000

50,000

100,000

100,000

OSPF соседства

10

20

40

40

Прераспределени правци на OSPF

2000

5000

20,000

20,000

Вкупно правци

20,000

50,000

250,000

250,000

→ Извор

Табелата покажува дека се препорачува да се организира балансирање на NSX Edge за продуктивни сценарија само почнувајќи од Големата големина.

Тоа е се што имам за денес. Во следните делови ќе разгледам детално како да ја конфигурирате секоја мрежна услуга NSX Edge.

Извор: www.habr.com