Jekk tħares lejn il-konfigurazzjoni ta 'kwalunkwe firewall, allura x'aktarx se naraw folja b'mazz ta' indirizzi IP, portijiet, protokolli u subnets. Dan huwa kif il-politiki tas-sigurtà tan-netwerk għall-aċċess tal-utenti għar-riżorsi huma implimentati klassikament. Għall-ewwel jippruvaw iżommu l-ordni fil-konfigurazzjoni, iżda mbagħad l-impjegati jibdew jimxu minn dipartiment għal dipartiment, is-servers jimmultiplikaw u jibdlu r-rwoli tagħhom, l-aċċess għal proġetti differenti jidher fejn normalment mhumiex permessi, u joħorġu mijiet ta 'mogħdijiet mhux magħrufa tal-mogħoż.
Ħdejn xi regoli, jekk int xortik tajba, hemm kummenti "Vasya talabni nagħmel dan" jew "Din hija passaġġ għad-DMZ." L-amministratur tan-netwerk jieqaf, u kollox isir kompletament mhux ċar. Imbagħad xi ħadd iddeċieda li jneħħi l-konfigurazzjoni ta 'Vasya, u SAP ġġarraf, għaliex Vasya darba talab għal dan l-aċċess biex imexxi l-ġlieda kontra SAP.
Illum se nitkellem dwar is-soluzzjoni VMware NSX, li tgħin biex tapplika b'mod preċiż il-politiki ta 'komunikazzjoni u sigurtà tan-netwerk mingħajr konfużjoni fil-konfigurazzjonijiet tal-firewall. Ser nuruk liema karatteristiċi ġodda dehru meta mqabbla ma 'dak li kellu VMware qabel f'din il-parti.
VMWare NSX hija pjattaforma ta 'virtwalizzazzjoni u sigurtà għas-servizzi tan-netwerk. NSX issolvi problemi ta 'routing, swiċċjar, ibbilanċjar tat-tagħbija, firewall u jista' jagħmel ħafna affarijiet interessanti oħra.
NSX huwa s-suċċessur tal-prodott vCloud Networking and Security (vCNS) ta 'VMware stess u l-NVP akkwistat Nicira.
Minn vCNS għal NSX
Preċedentement, klijent kellu magna virtwali vCNS vShield Edge separata fi sħab mibnija fuq VMware vCloud. Aġixxa bħala portal tal-fruntiera, fejn kien possibbli li jiġu kkonfigurati ħafna funzjonijiet tan-netwerk: NAT, DHCP, Firewall, VPN, load balancer, eċċ. Firewall u NAT. Fi ħdan in-netwerk, magni virtwali kkomunikaw bejniethom liberament fi ħdan is-subnets. Jekk verament trid taqsam u tirbaħ it-traffiku, tista 'tagħmel netwerk separat għal partijiet individwali ta' applikazzjonijiet (magni virtwali differenti) u tistabbilixxi r-regoli xierqa għall-interazzjoni tan-netwerk tagħhom fil-firewall. Iżda dan huwa twil, diffiċli u mhux interessanti, speċjalment meta jkollok diversi għexieren ta 'magni virtwali.
F'NSX, VMware implimenta l-kunċett ta 'mikro-segmentazzjoni bl-użu ta' firewall distribwit mibni fil-kernel tal-hypervisor. Jispeċifika politiki ta 'sigurtà u interazzjoni tan-netwerk mhux biss għall-indirizzi IP u MAC, iżda wkoll għal oġġetti oħra: magni virtwali, applikazzjonijiet. Jekk NSX jiġi skjerat fi ħdan organizzazzjoni, dawn l-oġġetti jistgħu jkunu utent jew grupp ta' utenti minn Active Directory. Kull oġġett bħal dan jinbidel f'mikrosegment fil-linja tas-sigurtà tiegħu stess, fis-subnet meħtieġ, bid-DMZ cozy tiegħu stess :).
Preċedentement, kien hemm biss perimetru ta 'sigurtà wieħed għall-ġabra sħiħa ta' riżorsi, protetti minn swiċċ tarf, iżda b'NSX tista 'tipproteġi magna virtwali separata minn interazzjonijiet mhux meħtieġa, anke fi ħdan l-istess netwerk.
Il-politiki tas-sigurtà u tan-netwerking jadattaw jekk entità tiċċaqlaq għal netwerk differenti. Pereżempju, jekk nimxu magna b'database għal segment ieħor tan-netwerk jew saħansitra għal ċentru tad-dejta virtwali ieħor konness, allura r-regoli miktuba għal din il-magna virtwali se jkomplu japplikaw irrispettivament mill-post il-ġdid tagħha. Is-server tal-applikazzjoni xorta jkun jista' jikkomunika mad-database.
Il-portal tat-tarf innifsu, vCNS vShield Edge, ġie sostitwit minn NSX Edge. Għandu l-karatteristiċi gentlemanly kollha tax-Xifer il-qadim, flimkien ma 'ftit karatteristiċi utli ġodda. Nitkellmu aktar dwarhom.
X'hemm ġdid bl-NSX Edge?
Il-funzjonalità NSX Edge tiddependi fuq
firewall. Tista' tagħżel indirizzi IP, netwerks, interfaces tal-gateway, u magni virtwali bħala oġġetti li għalihom se jiġu applikati r-regoli.
DHCP. Minbarra l-konfigurazzjoni tal-firxa ta 'indirizzi IP li se jinħarġu awtomatikament lill-magni virtwali fuq dan in-netwerk, NSX Edge issa għandu l-funzjonijiet li ġejjin: Vinkolanti и relay.
Fit-tab Irbit Tista' torbot l-indirizz MAC ta' magna virtwali ma' indirizz IP jekk għandek bżonn li l-indirizz IP ma jinbidelx. Il-ħaġa prinċipali hija li dan l-indirizz IP mhuwiex inkluż fid-DHCP Pool.
Fit-tab relay relay ta' messaġġi DHCP huwa kkonfigurat għal servers DHCP li jinsabu barra mill-organizzazzjoni tiegħek f'vCloud Director, inklużi servers DHCP tal-infrastruttura fiżika.
Rotot. vShield Edge seta' jikkonfigura biss ir-routing statiku. Rotot dinamiku b'appoġġ għall-protokolli OSPF u BGP deher hawn. Is-settings ECMP (Active-active) saru disponibbli wkoll, li jfisser failover attiv-attiv għal routers fiżiċi.
Twaqqif ta' OSPF
Twaqqif ta' BGP
Ħaġa oħra ġdida hija li twaqqaf it-trasferiment tar-rotot bejn protokolli differenti,
distribuzzjoni mill-ġdid tar-rotot.
L4/L7 Load Balancer. X-Forwarded-For ġie introdott għall-header HTTPs. Kulħadd jibki mingħajru. Per eżempju, għandek websajt li qed tibbilanċja. Mingħajr ma tibgħat din l-intestatura, kollox jaħdem, iżda fl-istatistika tas-server tal-web rajt mhux l-IP tal-viżitaturi, iżda l-IP tal-balancer. Issa kollox tajjeb.
Ukoll fit-tab tar-Regoli tal-Applikazzjoni issa tista 'żżid skripts li jikkontrollaw direttament l-ibbilanċjar tat-traffiku.
vpn. Minbarra l-IPSec VPN, NSX Edge jappoġġja:
- L2 VPN, li jippermettilek tistira netwerks bejn siti mxerrda ġeografikament. Tali VPN hija meħtieġa, pereżempju, sabiex meta tiċċaqlaq għal sit ieħor, il-magna virtwali tibqa 'fl-istess subnet u żżomm l-indirizz IP tagħha.
- SSL VPN Plus, li jippermetti lill-utenti jikkonnettjaw mill-bogħod ma 'netwerk korporattiv. Fil-livell vSphere kien hemm funzjoni bħal din, iżda għal vCloud Director din hija innovazzjoni.
Ċertifikati SSL. Iċ-ċertifikati issa jistgħu jiġu installati fuq NSX Edge. Dan jerġa 'jiġi għall-kwistjoni ta' min kellu bżonn balancer mingħajr ċertifikat għal https.
Raggruppament Oġġetti. F'din it-tab, huma speċifikati gruppi ta' oġġetti li għalihom se japplikaw ċerti regoli ta' interazzjoni tan-netwerk, pereżempju, regoli tal-firewall.
Dawn l-oġġetti jistgħu jkunu indirizzi IP u MAC.
Hemm ukoll lista ta’ servizzi (kombinazzjoni ta’ protocol-port) u applikazzjonijiet li jistgħu jintużaw meta jinħolqu regoli tal-firewall. L-amministratur tal-portal tal-vCD biss jista’ jżid servizzi u applikazzjonijiet ġodda.
Statistika. Statistika tal-konnessjoni: traffiku li jgħaddi mill-gateway, firewall u balancer.
Status u statistika għal kull mina VPN IPSEC u VPN L2.
Logging. Fit-tab Settings Edge, tista 'tissettja s-server għar-reġistrazzjoni ta' zkuk. Il-logging jaħdem għal DNAT/SNAT, DHCP, Firewall, routing, balancer, IPsec VPN, SSL VPN Plus.
It-tipi ta' twissijiet li ġejjin huma disponibbli għal kull oġġett/servizz:
—Iddibaggja
—Twissija
—Kritiku
- Żball
—Twissija
— Avviż
— Informazzjoni
NSX Xifer Dimensjonijiet
Jiddependi fuq il-kompiti li qed jiġu solvuti u l-volum ta 'VMware
Xifer NSX
(Kompatta)
Xifer NSX
(Kbir)
Xifer NSX
(Kwadru Kbir)
Xifer NSX
(X-Kbir)
vCPU
1
2
4
6
Memorja
512MB
1GB
1GB
8GB
Disk
512MB
512MB
512MB
4.5GB + 4GB
Ħatra
Waħda
applikazzjoni, test
ċentru tad-data
Żgħir
jew medja
ċentru tad-data
Mgħobbija
firewall
Ibbilanċjar
tagħbijiet fil-livell L7
Hawn taħt fit-tabella hemm il-metriċi operattivi tas-servizzi tan-netwerk skont id-daqs ta 'NSX Edge.
Xifer NSX
(Kompatta)
Xifer NSX
(Kbir)
Xifer NSX
(Kwadru Kbir)
Xifer NSX
(X-Kbir)
Interfaces
10
10
10
10
Sub Interfaces (Bagoll)
200
200
200
200
Regoli NAT
2,048
4,096
4,096
8,192
Entrati ARP
Sakemm Overwrite
1,024
2,048
2,048
2,048
Regoli FW
2000
2000
2000
2000
Prestazzjoni FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Pools DHCP
20,000
20,000
20,000
20,000
Mogħdijiet ECMP
8
8
8
8
Rotot statiċi
2,048
2,048
2,048
2,048
LB Pools
64
64
64
1,024
LB Servers Virtwali
64
64
64
1,024
LB Server/Pool
32
32
32
32
LB Kontrolli tas-Saħħa
320
320
320
3,072
Regoli ta' Applikazzjoni LB
4,096
4,096
4,096
4,096
L2VPN Clients Hub biex Tkellem
5
5
5
5
Netwerks L2VPN għal kull Klijent/Server
200
200
200
200
Mini IPSec
512
1,600
4,096
6,000
Mini SSLVPN
50
100
100
1,000
Netwerks Privati SSLVPN
16
16
16
16
Sessjonijiet Konkorrenti
64,000
1,000,000
1,000,000
1,000,000
Sessjonijiet/It-Tieni
8,000
50,000
50,000
50,000
LB Throughput L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB Throughput L4 Mode)
6Gbps
6Gbps
6Gbps
Konnessjonijiet LB/i (Proxy L7)
46,000
50,000
50,000
LB Konnessjonijiet Konkorrenti (Proxy L7)
8,000
60,000
60,000
Konnessjonijiet LB/i (Modalità L4)
50,000
50,000
50,000
Konnessjonijiet Konkorrenti LB (Modalità L4)
600,000
1,000,000
1,000,000
Rotot BGP
20,000
50,000
250,000
250,000
Ġirien tal-BGP
10
20
100
100
Rotot BGP Imqassma mill-ġdid
No Limit
No Limit
No Limit
No Limit
Rotot OSPF
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Tip-1
20,000
50,000
100,000
100,000
Adjaċenzi OSPF
10
20
40
40
Rotot OSPF imqassma mill-ġdid
2000
5000
20,000
20,000
Rotot totali
20,000
50,000
250,000
250,000
→
It-tabella turi li huwa rakkomandat li jiġi organizzat l-ibbilanċjar fuq NSX Edge għal xenarji produttivi li jibdew biss mid-daqs Kbir.
Dak kollu li għandi għal-lum. Fil-partijiet li ġejjin se ngħaddi fid-dettall kif nikkonfigura kull servizz tan-netwerk NSX Edge.
Sors: www.habr.com