Jika anda melihat konfigurasi mana-mana tembok api, kemungkinan besar kita akan melihat helaian dengan sekumpulan alamat IP, port, protokol dan subnet. Beginilah cara dasar keselamatan rangkaian untuk akses pengguna kepada sumber dilaksanakan secara klasik. Pada mulanya mereka cuba mengekalkan ketertiban dalam konfigurasi, tetapi kemudian pekerja mula berpindah dari jabatan ke jabatan, pelayan membiak dan menukar peranan mereka, akses untuk projek yang berbeza muncul di mana mereka biasanya tidak dibenarkan, dan beratus-ratus laluan kambing yang tidak diketahui muncul.
Di sebelah beberapa peraturan, jika anda bernasib baik, terdapat ulasan "Vasya meminta saya melakukan ini" atau "Ini adalah laluan ke DMZ." Pentadbir rangkaian berhenti, dan semuanya menjadi tidak jelas. Kemudian seseorang memutuskan untuk mengosongkan konfigurasi Vasya, dan SAP terhempas, kerana Vasya pernah meminta akses ini untuk menjalankan SAP pertempuran.
Hari ini saya akan bercakap tentang penyelesaian VMware NSX, yang membantu untuk menggunakan komunikasi rangkaian dan dasar keselamatan dengan tepat tanpa kekeliruan dalam konfigurasi tembok api. Saya akan menunjukkan kepada anda ciri baharu yang telah muncul berbanding dengan ciri VMware sebelum ini dalam bahagian ini.
VMWare NSX ialah platform maya dan keselamatan untuk perkhidmatan rangkaian. NSX menyelesaikan masalah penghalaan, pensuisan, pengimbangan beban, tembok api dan boleh melakukan banyak perkara menarik yang lain.
NSX ialah pengganti kepada produk Rangkaian dan Keselamatan (vCNS) vCloud sendiri VMware dan NVP Nicira yang diperoleh.
Daripada vCNS kepada NSX
Sebelum ini, pelanggan mempunyai mesin maya vCNS vShield Edge yang berasingan dalam awan yang dibina pada VMware vCloud. Ia bertindak sebagai gerbang sempadan, di mana ia boleh mengkonfigurasi banyak fungsi rangkaian: NAT, DHCP, Firewall, VPN, pengimbang beban, dll. vShield Edge mengehadkan interaksi mesin maya dengan dunia luar mengikut peraturan yang dinyatakan dalam Firewall dan NAT. Dalam rangkaian, mesin maya berkomunikasi antara satu sama lain secara bebas dalam subnet. Jika anda benar-benar ingin membahagikan dan menakluk trafik, anda boleh membuat rangkaian berasingan untuk bahagian aplikasi individu (mesin maya yang berbeza) dan menetapkan peraturan yang sesuai untuk interaksi rangkaian mereka dalam tembok api. Tetapi ini panjang, sukar dan tidak menarik, terutamanya apabila anda mempunyai beberapa dozen mesin maya.
Dalam NSX, VMware melaksanakan konsep pembahagian mikro menggunakan tembok api teragih yang dibina ke dalam kernel hipervisor. Ia menentukan dasar keselamatan dan interaksi rangkaian bukan sahaja untuk alamat IP dan MAC, tetapi juga untuk objek lain: mesin maya, aplikasi. Jika NSX digunakan dalam organisasi, objek ini boleh menjadi pengguna atau kumpulan pengguna daripada Active Directory. Setiap objek tersebut bertukar menjadi mikrosegmen dalam gelung keselamatannya sendiri, dalam subnet yang diperlukan, dengan DMZ sendiri yang selesa :).
Sebelum ini, hanya terdapat satu perimeter keselamatan untuk keseluruhan kumpulan sumber, dilindungi oleh suis tepi, tetapi dengan NSX anda boleh melindungi mesin maya yang berasingan daripada interaksi yang tidak perlu, walaupun dalam rangkaian yang sama.
Dasar keselamatan dan rangkaian menyesuaikan diri jika entiti berpindah ke rangkaian lain. Contohnya, jika kita mengalihkan mesin dengan pangkalan data ke segmen rangkaian lain atau pun ke pusat data maya lain yang disambungkan, maka peraturan yang ditulis untuk mesin maya ini akan terus digunakan tanpa mengira lokasi baharunya. Pelayan aplikasi masih boleh berkomunikasi dengan pangkalan data.
Gerbang tepi itu sendiri, vCNS vShield Edge, telah digantikan oleh NSX Edge. Ia mempunyai semua ciri lembut Edge lama, serta beberapa ciri berguna baharu. Kami akan bercakap tentang mereka lebih lanjut.
Apa yang baharu dengan NSX Edge?
Fungsi NSX Edge bergantung pada
tembok api. Anda boleh memilih alamat IP, rangkaian, antara muka get laluan dan mesin maya sebagai objek yang peraturan akan digunakan.
DHCP. Selain mengkonfigurasi julat alamat IP yang akan dikeluarkan secara automatik kepada mesin maya pada rangkaian ini, NSX Edge kini mempunyai fungsi berikut: Binding ΠΈ relay.
Di tab Pengikatan Anda boleh mengikat alamat MAC mesin maya ke alamat IP jika anda memerlukan alamat IP untuk tidak berubah. Perkara utama ialah alamat IP ini tidak termasuk dalam Kolam DHCP.
Di tab relay penyampaian mesej DHCP dikonfigurasikan kepada pelayan DHCP yang terletak di luar organisasi anda dalam Pengarah vCloud, termasuk pelayan DHCP infrastruktur fizikal.
Penghalaan. vShield Edge hanya boleh mengkonfigurasi penghalaan statik. Penghalaan dinamik dengan sokongan untuk protokol OSPF dan BGP muncul di sini. Tetapan ECMP (Aktif-aktif) juga telah tersedia, yang bermaksud failover aktif-aktif kepada penghala fizikal.
Menyediakan OSPF
Menyediakan BGP
Satu lagi perkara baharu ialah menyediakan pemindahan laluan antara protokol yang berbeza,
pengagihan semula laluan.
Pengimbang Beban L4/L7. X-Forwarded-For telah diperkenalkan untuk pengepala HTTPs. Semua orang menangis tanpa dia. Sebagai contoh, anda mempunyai tapak web yang anda seimbangkan. Tanpa memajukan pengepala ini, semuanya berfungsi, tetapi dalam statistik pelayan web anda tidak melihat IP pelawat, tetapi IP pengimbang. Sekarang semuanya betul.
Juga dalam tab Peraturan Aplikasi kini anda boleh menambah skrip yang akan mengawal pengimbangan trafik secara langsung.
vpn. Sebagai tambahan kepada IPSec VPN, NSX Edge menyokong:
- L2 VPN, yang membolehkan anda meregangkan rangkaian antara tapak yang tersebar secara geografi. VPN sedemikian diperlukan, sebagai contoh, supaya apabila berpindah ke tapak lain, mesin maya kekal dalam subnet yang sama dan mengekalkan alamat IPnya.
- SSL VPN Plus, yang membolehkan pengguna menyambung dari jauh ke rangkaian korporat. Pada peringkat vSphere terdapat fungsi sedemikian, tetapi untuk Pengarah vCloud ini adalah satu inovasi.
sijil SSL. Sijil kini boleh dipasang pada NSX Edge. Ini sekali lagi datang kepada persoalan siapa yang memerlukan pengimbang tanpa sijil untuk https.
Mengelompokkan Objek. Dalam tab ini, kumpulan objek ditentukan yang mana peraturan interaksi rangkaian tertentu akan digunakan, contohnya, peraturan tembok api.
Objek ini boleh menjadi alamat IP dan MAC.
Terdapat juga senarai perkhidmatan (gabungan protokol-port) dan aplikasi yang boleh digunakan semasa membuat peraturan firewall. Hanya pentadbir portal vCD boleh menambah perkhidmatan dan aplikasi baharu.
Perangkaan. Statistik sambungan: trafik yang melalui pintu masuk, tembok api dan pengimbang.
Status dan statistik untuk setiap terowong VPN IPSEC dan L2 VPN.
Pembalakan. Dalam tab Tetapan Tepi, anda boleh menetapkan pelayan untuk merakam log. Pengelogan berfungsi untuk DNAT/SNAT, DHCP, Firewall, penghalaan, pengimbang, IPsec VPN, SSL VPN Plus.
Jenis makluman berikut tersedia untuk setiap objek/perkhidmatan:
βNyahpepijat
-Amaran
βKritis
- Ralat
βAmaran
- Notis
- Maklumat
Dimensi Tepi NSX
Bergantung pada tugas yang sedang diselesaikan dan jumlah VMware
Tepi NSX
(Padat)
Tepi NSX
(Besar)
Tepi NSX
(Empat Besar)
Tepi NSX
(X-Besar)
vCPU
1
2
4
6
Memori
512MB
1GB
1GB
8GB
Cakera
512MB
512MB
512MB
4.5GB + 4GB
Pelantikan
satu
permohonan, ujian
Pusat data
Kecil
atau purata
Pusat data
dimuatkan
tembok api
Mengimbangkan
beban pada tahap L7
Di bawah dalam jadual ialah metrik operasi perkhidmatan rangkaian bergantung pada saiz NSX Edge.
Tepi NSX
(Padat)
Tepi NSX
(Besar)
Tepi NSX
(Empat Besar)
Tepi NSX
(X-Besar)
Antaramuka
10
10
10
10
Sub Antara Muka (Batang)
200
200
200
200
Peraturan NAT
2,048
4,096
4,096
8,192
Entri ARP
Sehingga Tulis Ganti
1,024
2,048
2,048
2,048
Peraturan FW
2000
2000
2000
2000
Prestasi FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Kolam DHCP
20,000
20,000
20,000
20,000
Laluan ECMP
8
8
8
8
Laluan Statik
2,048
2,048
2,048
2,048
Kolam LB
64
64
64
1,024
Pelayan Maya LB
64
64
64
1,024
Pelayan/Kolam LB
32
32
32
32
Pemeriksaan Kesihatan LB
320
320
320
3,072
Peraturan Permohonan LB
4,096
4,096
4,096
4,096
Hab Pelanggan L2VPN untuk Bercakap
5
5
5
5
Rangkaian L2VPN bagi setiap Pelanggan/Pelayan
200
200
200
200
Terowong IPSec
512
1,600
4,096
6,000
Terowong SSLVPN
50
100
100
1,000
Rangkaian Peribadi SSLVPN
16
16
16
16
Sesi Serentak
64,000
1,000,000
1,000,000
1,000,000
Sesi/Kedua
8,000
50,000
50,000
50,000
Proksi L7 Throughput LB)
2.2Gbps
2.2Gbps
3Gbps
Mod L4 Throughput LB)
6Gbps
6Gbps
6Gbps
Sambungan LB (Proksi L7)
46,000
50,000
50,000
Sambungan Serentak LB (Proksi L7)
8,000
60,000
60,000
Sambungan LB (Mod L4)
50,000
50,000
50,000
Sambungan Serentak LB (Mod L4)
600,000
1,000,000
1,000,000
Laluan BGP
20,000
50,000
250,000
250,000
Jiran BGP
10
20
100
100
Laluan BGP Diagihkan Semula
Tiada Had
Tiada Had
Tiada Had
Tiada Had
Laluan OSPF
20,000
50,000
100,000
100,000
Penyertaan OSPF LSA Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF Adjacencies
10
20
40
40
Laluan OSPF Diagihkan Semula
2000
5000
20,000
20,000
Jumlah Laluan
20,000
50,000
250,000
250,000
β
Jadual menunjukkan bahawa adalah disyorkan untuk mengatur pengimbangan pada NSX Edge untuk senario produktif hanya bermula dari saiz Besar.
Itu sahaja yang saya ada untuk hari ini. Dalam bahagian berikut saya akan menerangkan secara terperinci cara mengkonfigurasi setiap perkhidmatan rangkaian NSX Edge.
Sumber: www.habr.com