Hvis du ser på konfigurasjonen til en brannmur, vil vi mest sannsynlig se et ark med en haug med IP-adresser, porter, protokoller og subnett. Dette er hvordan nettverkssikkerhetspolicyer for brukertilgang til ressurser er klassisk implementert. Først prøver de å opprettholde orden i konfigurasjonen, men så begynner ansatte å bevege seg fra avdeling til avdeling, servere multipliserer og endrer roller, tilgang for ulike prosjekter dukker opp der de vanligvis ikke er tillatt, og hundrevis av ukjente geitestier dukker opp.
Ved siden av noen regler, hvis du er heldig, er det kommentarer "Vasya ba meg om å gjøre dette" eller "Dette er en passasje til DMZ." Nettverksadministratoren slutter, og alt blir helt uklart. Så bestemte noen seg for å rense Vasyas konfigurasjon, og SAP krasjet, fordi Vasya en gang ba om denne tilgangen for å kjøre kamp-SAP.
I dag skal jeg snakke om VMware NSX-løsningen, som hjelper til med å nøyaktig bruke nettverkskommunikasjon og sikkerhetspolicyer uten forvirring i brannmurkonfigurasjoner. Jeg skal vise deg hvilke nye funksjoner som har dukket opp sammenlignet med hva VMware tidligere hadde i denne delen.
VMWare NSX er en virtualiserings- og sikkerhetsplattform for nettverkstjenester. NSX løser problemer med ruting, veksling, lastbalansering, brannmur og kan gjøre mange andre interessante ting.
NSX er etterfølgeren til VMwares eget vCloud Networking and Security (vCNS)-produkt og det oppkjøpte Nicira NVP.
Fra vCNS til NSX
Tidligere hadde en klient en egen vCNS vShield Edge virtuell maskin i en sky bygget på VMware vCloud. Den fungerte som en grenseport, hvor det var mulig å konfigurere mange nettverksfunksjoner: NAT, DHCP, brannmur, VPN, lastbalanser, etc. vShield Edge begrenset interaksjonen til den virtuelle maskinen med omverdenen i henhold til reglene spesifisert i Brannmur og NAT. Innenfor nettverket kommuniserte virtuelle maskiner fritt med hverandre innenfor subnett. Hvis du virkelig ønsker å dele og erobre trafikk, kan du lage et eget nettverk for individuelle deler av applikasjoner (ulike virtuelle maskiner) og sette de riktige reglene for deres nettverksinteraksjon i brannmuren. Men dette er langt, vanskelig og uinteressant, spesielt når du har flere dusin virtuelle maskiner.
I NSX implementerte VMware konseptet med mikrosegmentering ved å bruke en distribuert brannmur innebygd i hypervisorkjernen. Den spesifiserer retningslinjer for sikkerhet og nettverksinteraksjon, ikke bare for IP- og MAC-adresser, men også for andre objekter: virtuelle maskiner, applikasjoner. Hvis NSX er distribuert i en organisasjon, kan disse objektene være en bruker eller gruppe av brukere fra Active Directory. Hvert slikt objekt blir til et mikrosegment i sin egen sikkerhetssløyfe, i det nødvendige subnettet, med sin egen koselige DMZ :).
Tidligere var det bare én sikkerhetsperimeter for hele ressurspoolen, beskyttet av en kantsvitsj, men med NSX kan du beskytte en separat virtuell maskin mot unødvendige interaksjoner, selv innenfor samme nettverk.
Sikkerhets- og nettverkspolicyer tilpasses hvis en enhet flytter til et annet nettverk. For eksempel, hvis vi flytter en maskin med en database til et annet nettverkssegment eller til og med til et annet tilkoblet virtuelt datasenter, vil reglene som er skrevet for denne virtuelle maskinen fortsette å gjelde uavhengig av dens nye plassering. Applikasjonsserveren vil fortsatt kunne kommunisere med databasen.
Selve edge-gatewayen, vCNS vShield Edge, er erstattet av NSX Edge. Den har alle gentleman-funksjonene til den gamle Edge, pluss noen få nye nyttige funksjoner. Vi vil snakke om dem videre.
Hva er nytt med NSX Edge?
NSX Edge-funksjonalitet avhenger av NSX. Det er fem av dem: Standard, Professional, Advanced, Enterprise, Plus Remote Branch Office. Alt nytt og interessant kan bare sees fra Advanced. Inkludert et nytt grensesnitt, som, inntil vCloud fullstendig bytter til HTML5 (VMware lover sommeren 2019), åpnes i en ny fane.
Brannmur. Du kan velge IP-adresser, nettverk, gateway-grensesnitt og virtuelle maskiner som objekter som reglene skal brukes på.
DHCP. I tillegg til å konfigurere utvalget av IP-adresser som automatisk vil bli utstedt til virtuelle maskiner på dette nettverket, har NSX Edge nå følgende funksjoner: Bindende и Relay.
I fanen Bindinger Du kan binde MAC-adressen til en virtuell maskin til en IP-adresse hvis du trenger at IP-adressen ikke skal endres. Det viktigste er at denne IP-adressen ikke er inkludert i DHCP-poolen.
I fanen Relay relé av DHCP-meldinger er konfigurert til DHCP-servere som er plassert utenfor organisasjonen din i vCloud Director, inkludert DHCP-servere til den fysiske infrastrukturen.
Ruting. vShield Edge kunne bare konfigurere statisk ruting. Dynamisk ruting med støtte for OSPF- og BGP-protokoller dukket opp her. ECMP (Active-active)-innstillinger har også blitt tilgjengelig, noe som betyr aktiv-aktiv failover til fysiske rutere.
Sette opp OSPF
Sette opp BGP
En annen ny ting er å sette opp overføring av ruter mellom forskjellige protokoller,
ruteomfordeling.
L4/L7 Load Balancer. X-Forwarded-For ble introdusert for HTTPs-headeren. Alle gråt uten ham. For eksempel har du en nettside som du balanserer. Uten å videresende denne overskriften fungerer alt, men i webserverstatistikken så du ikke IP-en til de besøkende, men IP-en til balanseren. Nå er alt rett.
Også i kategorien Application Rules kan du nå legge til skript som direkte vil kontrollere trafikkbalansering.
VPN. I tillegg til IPSec VPN, støtter NSX Edge:
- L2 VPN, som lar deg strekke nettverk mellom geografisk spredte nettsteder. En slik VPN er for eksempel nødvendig, slik at den virtuelle maskinen forblir i samme subnett når den flyttes til et annet sted, og beholder sin IP-adresse.
- SSL VPN Plus, som lar brukere koble eksternt til et bedriftsnettverk. På vSphere-nivå var det en slik funksjon, men for vCloud Director er dette en innovasjon.
SSL-sertifikater. Sertifikater kan nå installeres på NSX Edge. Dette kommer igjen til spørsmålet om hvem som trengte en balanserer uten sertifikat for https.
Gruppering av objekter. I denne fanen er det spesifisert grupper av objekter som bestemte nettverksinteraksjonsregler vil gjelde for, for eksempel brannmurregler.
Disse objektene kan være IP- og MAC-adresser.
Det er også en liste over tjenester (protokoll-port-kombinasjon) og applikasjoner som kan brukes når du oppretter brannmurregler. Bare vCD-portaladministratoren kan legge til nye tjenester og applikasjoner.
Statistikk. Tilkoblingsstatistikk: trafikk som går gjennom gateway, brannmur og balanserer.
Status og statistikk for hver IPSEC VPN og L2 VPN-tunnel.
Hogst. I kategorien Edge Settings kan du angi serveren for opptak av logger. Logging fungerer for DNAT/SNAT, DHCP, brannmur, ruting, balansering, IPsec VPN, SSL VPN Plus.
Følgende typer varsler er tilgjengelige for hvert objekt/tjeneste:
– Feilsøk
-Varsling
-Kritisk
- Feil
— Advarsel
- Legge merke til
— Info
NSX Edge dimensjoner
Avhengig av oppgavene som løses og volumet av VMware lag NSX Edge i følgende størrelser:
NSX Edge
(Kompakt)
NSX Edge
(Stor)
NSX Edge
(Quad-Large)
NSX Edge
(X-Large)
vCPU
1
2
4
6
Minne
512MB
1GB
1GB
8GB
Disk
512MB
512MB
512MB
4.5GB + 4GB
Avtale
En
søknad, test
datasenter
liten
eller gjennomsnittlig
datasenter
Lastet
brannmur
Balansering
laster på nivå L7
Nedenfor i tabellen er driftsberegningene for nettverkstjenester avhengig av størrelsen på NSX Edge.
NSX Edge
(Kompakt)
NSX Edge
(Stor)
NSX Edge
(Quad-Large)
NSX Edge
(X-Large)
Grensesnitt
10
10
10
10
Undergrensesnitt (trunk)
200
200
200
200
NAT -regler
2,048
4,096
4,096
8,192
ARP-oppføringer
Inntil overskriv
1,024
2,048
2,048
2,048
FW-regler
2000
2000
2000
2000
FW ytelse
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP-bassenger
20,000
20,000
20,000
20,000
ECMP-veier
8
8
8
8
Statiske ruter
2,048
2,048
2,048
2,048
LB bassenger
64
64
64
1,024
LB virtuelle servere
64
64
64
1,024
LB Server/Pool
32
32
32
32
LB helsesjekker
320
320
320
3,072
LB søknadsregler
4,096
4,096
4,096
4,096
L2VPN Clients Hub til Snakker
5
5
5
5
L2VPN-nettverk per klient/server
200
200
200
200
IPSec-tunneler
512
1,600
4,096
6,000
SSLVPN-tunneler
50
100
100
1,000
SSLVPN private nettverk
16
16
16
16
Samtidige økter
64,000
1,000,000
1,000,000
1,000,000
Økter/sekunder
8,000
50,000
50,000
50,000
LB Throughput L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB-gjennomstrømning L4-modus)
6Gbps
6Gbps
6Gbps
LB Connections/s (L7 Proxy)
46,000
50,000
50,000
LB samtidige tilkoblinger (L7 proxy)
8,000
60,000
60,000
LB-tilkoblinger/-er (L4-modus)
50,000
50,000
50,000
LB samtidige tilkoblinger (L4-modus)
600,000
1,000,000
1,000,000
BGP-ruter
20,000
50,000
250,000
250,000
BGP Naboer
10
20
100
100
BGP-ruter omfordelt
No Limit
No Limit
No Limit
No Limit
OSPF-ruter
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF Adjacencies
10
20
40
40
OSPF-ruter omfordelt
2000
5000
20,000
20,000
Totale ruter
20,000
50,000
250,000
250,000
→
Tabellen viser at det anbefales å organisere balansering på NSX Edge for produktive scenarier som kun starter fra Large-størrelsen.
Det er alt jeg har for i dag. I de følgende delene vil jeg gå gjennom i detalj hvordan du konfigurerer hver NSX Edge-nettverkstjeneste.
Kilde: www.habr.com