Als je naar de configuratie van een firewall kijkt, zien we hoogstwaarschijnlijk een blad met een aantal IP-adressen, poorten, protocollen en subnetten. Dit is hoe netwerkbeveiligingsbeleid voor gebruikerstoegang tot bronnen klassiek wordt geïmplementeerd. In eerste instantie proberen ze de orde in de configuratie te handhaven, maar dan beginnen werknemers van afdeling naar afdeling te verhuizen, vermenigvuldigen de servers zich en veranderen hun rollen, verschijnt toegang voor verschillende projecten waar ze normaal gesproken niet zijn toegestaan, en ontstaan er honderden onbekende geitenpaden.
Naast enkele regels zijn er, als je geluk hebt, ook opmerkingen: 'Vasya heeft me gevraagd dit te doen' of 'Dit is een passage naar de DMZ.' De netwerkbeheerder stopt en alles wordt volkomen onduidelijk. Toen besloot iemand de configuratie van Vasya te wissen en SAP crashte, omdat Vasya ooit om deze toegang vroeg om de gevechts-SAP uit te voeren.
Vandaag zal ik het hebben over de VMware NSX-oplossing, die helpt om netwerkcommunicatie- en beveiligingsbeleid nauwkeurig toe te passen zonder verwarring in firewallconfiguraties. Ik zal je in dit deel laten zien welke nieuwe functies zijn verschenen in vergelijking met wat VMware eerder had.
VMWare NSX is een virtualisatie- en beveiligingsplatform voor netwerkdiensten. NSX lost problemen op met betrekking tot routering, schakelen, taakverdeling, firewall en kan nog veel meer interessante dingen doen.
NSX is de opvolger van VMware's eigen vCloud Networking and Security (vCNS) product en het overgenomen Nicira NVP.
Van vCNS tot NSX
Voorheen had een klant een afzonderlijke vCNS vShield Edge virtuele machine in een cloud gebouwd op VMware vCloud. Het fungeerde als een grensgateway, waar het mogelijk was om veel netwerkfuncties te configureren: NAT, DHCP, Firewall, VPN, load balancer, enz. vShield Edge beperkte de interactie van de virtuele machine met de buitenwereld volgens de regels gespecificeerd in de Firewall en NAT. Binnen het netwerk communiceerden virtuele machines vrijelijk met elkaar binnen subnetten. Als je het verkeer echt wilt verdelen en veroveren, kun je een apart netwerk maken voor afzonderlijke delen van applicaties (verschillende virtuele machines) en de juiste regels voor hun netwerkinteractie in de firewall instellen. Maar dit is lang, moeilijk en oninteressant, vooral als je enkele tientallen virtuele machines hebt.
In NSX implementeerde VMware het concept van microsegmentatie met behulp van een gedistribueerde firewall die in de hypervisorkernel was ingebouwd. Het specificeert het beveiligings- en netwerkinteractiebeleid niet alleen voor IP- en MAC-adressen, maar ook voor andere objecten: virtuele machines, applicaties. Als NSX binnen een organisatie wordt ingezet, kunnen deze objecten een gebruiker of een groep gebruikers uit Active Directory zijn. Elk dergelijk object verandert in een microsegment in zijn eigen beveiligingslus, in het vereiste subnet, met zijn eigen gezellige DMZ :).
Voorheen was er slechts één beveiligingsperimeter voor de hele bronnenpool, beschermd door een edge-switch, maar met NSX kun je een afzonderlijke virtuele machine beschermen tegen onnodige interacties, zelfs binnen hetzelfde netwerk.
Beveiligings- en netwerkbeleid worden aangepast als een entiteit naar een ander netwerk verhuist. Als we bijvoorbeeld een machine met een database naar een ander netwerksegment of zelfs naar een ander verbonden virtueel datacenter verplaatsen, blijven de regels die voor deze virtuele machine zijn geschreven van toepassing, ongeacht de nieuwe locatie. De applicatieserver kan nog steeds met de database communiceren.
De edge-gateway zelf, vCNS vShield Edge, is vervangen door NSX Edge. Het heeft alle vriendelijke kenmerken van de oude Edge, plus een paar nieuwe handige functies. We zullen er verder over praten.
Wat is er nieuw bij de NSX Edge?
De NSX Edge-functionaliteit is afhankelijk van
Firewall. U kunt IP-adressen, netwerken, gateway-interfaces en virtuele machines selecteren als objecten waarop de regels worden toegepast.
DHCP. Naast het configureren van de reeks IP-adressen die automatisch worden toegekend aan virtuele machines op dit netwerk, heeft NSX Edge nu de volgende functies: Bindend и Relais.
Op het tabblad bindingen U kunt het MAC-adres van een virtuele machine aan een IP-adres koppelen als u wilt dat het IP-adres niet verandert. Het belangrijkste is dat dit IP-adres niet is opgenomen in de DHCP-pool.
Op het tabblad Relais het doorgeven van DHCP-berichten wordt geconfigureerd naar DHCP-servers die zich buiten uw organisatie in vCloud Director bevinden, inclusief DHCP-servers van de fysieke infrastructuur.
Routering. vShield Edge kon alleen statische routering configureren. Hier verscheen dynamische routing met ondersteuning voor OSPF- en BGP-protocollen. Er zijn ook ECMP-instellingen (Active-Active) beschikbaar gekomen, wat een actief-actieve failover naar fysieke routers betekent.
OSPF instellen
BGP instellen
Een ander nieuw ding is het opzetten van de overdracht van routes tussen verschillende protocollen,
herverdeling van routes.
L4/L7 Loadbalancer. X-Forwarded-For is geïntroduceerd voor de HTTPs-header. Iedereen huilde zonder hem. U heeft bijvoorbeeld een website die u aan het balanceren bent. Zonder deze header door te sturen werkt alles, maar in de webserverstatistieken zag je niet het IP-adres van de bezoekers, maar het IP-adres van de balancer. Nu klopt alles.
Ook op het tabblad Applicatieregels kunt u nu scripts toevoegen die de verkeersverdeling rechtstreeks regelen.
VPN. Naast IPSec VPN ondersteunt NSX Edge:
- L2 VPN, waarmee u netwerken kunt uitbreiden tussen geografisch verspreide locaties. Zo’n VPN is bijvoorbeeld nodig zodat de virtuele machine bij verhuizing naar een andere site in hetzelfde subnet blijft en zijn IP-adres behoudt.
- SSL VPN Plus, waarmee gebruikers op afstand verbinding kunnen maken met een bedrijfsnetwerk. Op vSphere-niveau was er zo'n functie, maar voor vCloud Director is dit een innovatie.
SSL-certificaten. Certificaten kunnen nu op de NSX Edge worden geïnstalleerd. Dit komt opnieuw op de vraag wie een balancer nodig had zonder certificaat voor https.
Objecten groeperen. Op dit tabblad worden groepen objecten gespecificeerd waarvoor bepaalde netwerkinteractieregels van toepassing zijn, bijvoorbeeld firewallregels.
Deze objecten kunnen IP- en MAC-adressen zijn.
Er is ook een lijst met services (protocol-poortcombinatie) en applicaties die kunnen worden gebruikt bij het maken van firewallregels. Alleen de vCD-portalbeheerder kan nieuwe services en applicaties toevoegen.
атистика. Verbindingsstatistieken: verkeer dat door de gateway, firewall en balancer gaat.
Status en statistieken voor elke IPSEC VPN- en L2 VPN-tunnel.
Loggen. Op het tabblad Edge-instellingen kunt u de server instellen voor het opnemen van logbestanden. Logging werkt voor DNAT/SNAT, DHCP, Firewall, routing, balancer, IPsec VPN, SSL VPN Plus.
Voor elk object/dienst zijn de volgende typen waarschuwingen beschikbaar:
—Debuggen
–Waarschuwing
—Kritisch
- Fout
-Waarschuwing
- Kennisgeving
—Informatie
NSX-randafmetingen
Afhankelijk van de taken die worden opgelost en het volume van VMware
NSX-rand
(Compact)
NSX-rand
(Groot)
NSX-rand
(Quad-groot)
NSX-rand
(X-groot)
vCPU
1
2
4
6
Geheugen
512MB
1GB
1GB
8GB
Schijf
512MB
512MB
512MB
4.5GB + 4GB
Afspraak
één
toepassing, testen
datacentrum
small
of gemiddeld
datacentrum
Geladen
firewall
Balanceren
belastingen op niveau L7
Hieronder in de tabel vindt u de operationele statistieken van netwerkservices, afhankelijk van de grootte van NSX Edge.
NSX-rand
(Compact)
NSX-rand
(Groot)
NSX-rand
(Quad-groot)
NSX-rand
(X-groot)
interfaces
10
10
10
10
Subinterfaces (trunk)
200
200
200
200
NAT-regels
2,048
4,096
4,096
8,192
ARP-inzendingen
Tot overschrijven
1,024
2,048
2,048
2,048
FW-regels
2000
2000
2000
2000
FW-prestaties
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP-pools
20,000
20,000
20,000
20,000
ECMP-paden
8
8
8
8
Statische routes
2,048
2,048
2,048
2,048
LB-zwembaden
64
64
64
1,024
LB virtuele servers
64
64
64
1,024
LB-server/pool
32
32
32
32
LB-gezondheidscontroles
320
320
320
3,072
LB-toepassingsregels
4,096
4,096
4,096
4,096
L2VPN-clients Hub om te spreken
5
5
5
5
L2VPN-netwerken per client/server
200
200
200
200
IPSec-tunnels
512
1,600
4,096
6,000
SSLVPN-tunnels
50
100
100
1,000
SSLVPN privénetwerken
16
16
16
16
Gelijktijdige sessies
64,000
1,000,000
1,000,000
1,000,000
Sessies/tweede
8,000
50,000
50,000
50,000
LB-doorvoer L7 proxy)
2.2Gbps
2.2Gbps
3Gbps
LB-doorvoer L4-modus)
6Gbps
6Gbps
6Gbps
LB-verbindingen/s (L7 Proxy)
46,000
50,000
50,000
LB gelijktijdige verbindingen (L7-proxy)
8,000
60,000
60,000
LB-verbindingen/s (L4-modus)
50,000
50,000
50,000
LB gelijktijdige verbindingen (L4-modus)
600,000
1,000,000
1,000,000
BGP-routes
20,000
50,000
250,000
250,000
BGP-buren
10
20
100
100
BGP-routes opnieuw gedistribueerd
No Limit
No Limit
No Limit
No Limit
OSPF-routes
20,000
50,000
100,000
100,000
OSPF LSA-invoer Max. 750 Type-1
20,000
50,000
100,000
100,000
OSPF-aangrenzen
10
20
40
40
OSPF-routes opnieuw verdeeld
2000
5000
20,000
20,000
Totaal routes
20,000
50,000
250,000
250,000
→
Uit de tabel blijkt dat het aanbevolen is om balancering op NSX Edge te organiseren voor productieve scenario's die alleen beginnen met het formaat Large.
Dat is alles wat ik heb voor vandaag. In de volgende delen zal ik in detail bespreken hoe u elke NSX Edge-netwerkservice configureert.
Bron: www.habr.com