Jeśli spojrzysz na konfigurację dowolnej zapory sieciowej, najprawdopodobniej zobaczymy arkusz zawierający kilka adresów IP, portów, protokołów i podsieci. W ten sposób klasycznie wdrażane są polityki bezpieczeństwa sieci dotyczące dostępu użytkowników do zasobów. Na początku starają się zachować porządek w konfiguracji, ale potem pracownicy zaczynają przenosić się z działu do działu, serwery się mnożą i zmieniają swoje role, pojawia się dostęp do różnych projektów tam, gdzie zwykle nie jest dozwolony, pojawiają się setki nieznanych kozich ścieżek.
Obok niektórych zasad, jeśli masz szczęście, pojawiają się komentarze „Wasja mnie o to poprosiła” lub „To jest przejście do DMZ”. Administrator sieci odchodzi i wszystko staje się zupełnie niejasne. Potem ktoś zdecydował się wyczyścić konfigurację Vasyi i SAP uległ awarii, ponieważ Vasya pewnego razu poprosiła o ten dostęp, aby uruchomić bojowy SAP.
Dzisiaj opowiem o rozwiązaniu VMware NSX, które pomaga precyzyjnie zastosować politykę komunikacji sieciowej i bezpieczeństwa bez zamieszania w konfiguracjach firewalla. W tej części pokażę Ci, jakie nowe funkcje pojawiły się w porównaniu do tego, co wcześniej posiadało VMware.
VMWare NSX to platforma wirtualizacji i bezpieczeństwa dla usług sieciowych. NSX rozwiązuje problemy związane z routingiem, przełączaniem, równoważeniem obciążenia, zaporą ogniową i może robić wiele innych interesujących rzeczy.
NSX jest następcą własnego produktu vCloud Networking and Security (vCNS) firmy VMware oraz przejętej firmy Nicira NVP.
Od vCNS do NSX
Wcześniej klient posiadał oddzielną maszynę wirtualną vCNS vShield Edge w chmurze zbudowanej na VMware vCloud. Pełnił funkcję bramy brzegowej, gdzie można było skonfigurować wiele funkcji sieciowych: NAT, DHCP, Firewall, VPN, Load Balancer itp. vShield Edge ograniczał interakcję maszyny wirtualnej ze światem zewnętrznym według zasad określonych w Zapora sieciowa i NAT. W sieci maszyny wirtualne komunikowały się ze sobą swobodnie w ramach podsieci. Jeśli naprawdę chcesz dzielić i podbijać ruch, możesz wydzielić oddzielną sieć dla poszczególnych części aplikacji (różnych maszyn wirtualnych) i ustawić odpowiednie reguły ich interakcji sieciowej w firewallu. Ale to jest długie, trudne i nieciekawe, zwłaszcza gdy masz kilkadziesiąt maszyn wirtualnych.
W NSX firma VMware zaimplementowała koncepcję mikrosegmentacji przy użyciu rozproszonej zapory sieciowej wbudowanej w jądro hypervisora. Określa zasady bezpieczeństwa i interakcji sieciowych nie tylko dla adresów IP i MAC, ale także dla innych obiektów: maszyn wirtualnych, aplikacji. Jeśli w organizacji wdrożono NSX, obiektami tymi może być użytkownik lub grupa użytkowników z Active Directory. Każdy taki obiekt zamienia się w mikrosegment we własnej pętli bezpieczeństwa, w wymaganej podsieci, z własną przytulną strefą DMZ :).
Wcześniej istniał tylko jeden obwód bezpieczeństwa dla całej puli zasobów, chroniony przełącznikiem brzegowym, ale dzięki NSX można chronić osobną maszynę wirtualną przed niepotrzebnymi interakcjami, nawet w tej samej sieci.
Zasady bezpieczeństwa i sieci dostosowują się, jeśli jednostka przenosi się do innej sieci. Przykładowo, jeśli przeniesiemy maszynę z bazą danych do innego segmentu sieci lub nawet do innego podłączonego wirtualnego centrum danych, wówczas reguły napisane dla tej maszyny wirtualnej będą nadal obowiązywać niezależnie od jej nowej lokalizacji. Serwer aplikacji nadal będzie mógł komunikować się z bazą danych.
Sama bramka brzegowa, vCNS vShield Edge, została zastąpiona przez NSX Edge. Posiada wszystkie dżentelmeńskie cechy starego Edge’a oraz kilka nowych, przydatnych funkcji. Porozmawiamy o nich dalej.
Co nowego w NSX Edge?
Funkcjonalność NSX Edge zależy od NSX. Jest ich pięć: Standard, Professional, Advanced, Enterprise, Plus Remote Branch Office. Wszystko nowe i interesujące można zobaczyć dopiero zaczynając od wersji zaawansowanej. W tym nowy interfejs, który do czasu całkowitego przejścia vCloud na HTML5 (VMware obiecuje lato 2019), otwiera się w nowej karcie.
Zapora. Możesz wybrać adresy IP, sieci, interfejsy bram i maszyny wirtualne jako obiekty, do których zostaną zastosowane reguły.
DHCP. Oprócz konfiguracji zakresu adresów IP, które będą automatycznie przydzielane maszynom wirtualnym w tej sieci, NSX Edge oferuje teraz następujące funkcje: Wiążący и Przekaźnik.
W zakładce Wiązania Możesz powiązać adres MAC maszyny wirtualnej z adresem IP, jeśli nie chcesz, aby adres IP się zmieniał. Najważniejsze jest to, że ten adres IP nie jest uwzględniony w puli DHCP.
W zakładce Przekaźnik przekazywanie wiadomości DHCP jest skonfigurowane dla serwerów DHCP znajdujących się poza Twoją organizacją w vCloud Director, włączając w to serwery DHCP infrastruktury fizycznej.
Rozgromienie. vShield Edge mógł skonfigurować tylko routing statyczny. Pojawił się tutaj routing dynamiczny z obsługą protokołów OSPF i BGP. Dostępne są także ustawienia ECMP (Active-Active), co oznacza aktywne-aktywne przełączanie awaryjne na routery fizyczne.
Konfiguracja OSPF
Konfiguracja protokołu BGP
Kolejną nowością jest ustawienie transferu tras pomiędzy różnymi protokołami,
redystrybucja tras.
Moduł równoważenia obciążenia L4/L7. Dla nagłówka HTTPs wprowadzono X-Forwarded-For. Wszyscy płakali bez niego. Na przykład masz witrynę internetową, którą równoważysz. Bez przekazywania tego nagłówka wszystko działa, ale w statystykach serwera WWW nie widziałeś adresu IP odwiedzających, ale adres IP modułu równoważącego. Teraz wszystko jest w porządku.
Również w zakładce Reguły aplikacji możesz teraz dodać skrypty, które będą bezpośrednio kontrolować równoważenie ruchu.
VPN. Oprócz IPSec VPN, NSX Edge obsługuje:
- L2 VPN, który umożliwia rozciąganie sieci pomiędzy lokalizacjami rozproszonymi geograficznie. Taki VPN jest potrzebny np. aby przy przeprowadzce do innej lokacji maszyna wirtualna pozostała w tej samej podsieci i zachowała swój adres IP.
- SSL VPN Plus, który umożliwia użytkownikom zdalne łączenie się z siecią firmową. Na poziomie vSphere istniała taka funkcja, ale dla vCloud Director jest to innowacja.
Certyfikaty SSL. Certyfikaty można teraz instalować na NSX Edge. To znowu sprowadza się do pytania, komu potrzebny był balanser bez certyfikatu dla https.
Grupowanie obiektów. W zakładce tej określa się grupy obiektów, dla których będą obowiązywać określone reguły interakcji sieciowej, np. reguły firewalla.
Obiektami tymi mogą być adresy IP i MAC.
Istnieje również lista usług (połączenie protokołu-portu) i aplikacji, które można wykorzystać podczas tworzenia reguł zapory sieciowej. Tylko administrator portalu vCD może dodawać nowe usługi i aplikacje.
Statystyka. Statystyki połączeń: ruch przechodzący przez bramę, zaporę sieciową i moduł równoważący.
Stan i statystyki dla każdego tunelu IPSEC VPN i L2 VPN.
Logowanie. W zakładce Edge Settings możesz ustawić serwer do zapisywania logów. Rejestrowanie działa dla DNAT/SNAT, DHCP, zapory ogniowej, routingu, balansera, IPsec VPN, SSL VPN Plus.
Dla każdego obiektu/usługi dostępne są następujące typy alertów:
-Odpluskwić
-Alarm
-Krytyczny
- Błąd
-Ostrzeżenie
- Ogłoszenie
— Informacje
Wymiary krawędzi NSX
W zależności od rozwiązywanych zadań i objętości VMware utwórz NSX Edge w następujących rozmiarach:
NSX Edge
(Kompaktowy)
NSX Edge
(Duży)
NSX Edge
(Czteroosobowy)
NSX Edge
(bardzo duży)
procesor wirtualny
1
2
4
6
Pamięć
512MB
1GB
1GB
8GB
Dysk
512MB
512MB
512MB
4.5GB + 4GB
Powołanie
Jeden
aplikacja, test
Centrum danych
Mały
lub przeciętny
Centrum danych
Załadowany
zapora sieciowa
Balansowy
obciążenia na poziomie L7
Poniżej w tabeli znajdują się wskaźniki operacyjne usług sieciowych w zależności od rozmiaru NSX Edge.
NSX Edge
(Kompaktowy)
NSX Edge
(Duży)
NSX Edge
(Czteroosobowy)
NSX Edge
(bardzo duży)
interfejsy
10
10
10
10
Podinterfejsy (Trunk)
200
200
200
200
Reguły NAT
2,048
4,096
4,096
8,192
Wpisy ARP
Do czasu nadpisania
1,024
2,048
2,048
2,048
Regulamin FW
2000
2000
2000
2000
Wydajność oprogramowania
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Pule DHCP
20,000
20,000
20,000
20,000
Ścieżki ECMP
8
8
8
8
Trasy statyczne
2,048
2,048
2,048
2,048
Baseny LB
64
64
64
1,024
Serwery wirtualne LB
64
64
64
1,024
Serwer/pula LB
32
32
32
32
Kontrole stanu zdrowia LB
320
320
320
3,072
Zasady stosowania LB
4,096
4,096
4,096
4,096
Centrum klientów L2VPN do rozmów
5
5
5
5
Sieci L2VPN na klienta/serwer
200
200
200
200
Tunele IPSec
512
1,600
4,096
6,000
Tunele SSLVPN
50
100
100
1,000
Sieci prywatne SSLVPN
16
16
16
16
Sesje równoległe
64,000
1,000,000
1,000,000
1,000,000
Sesje/sekundę
8,000
50,000
50,000
50,000
Przepustowość LB L7 proxy)
2.2Gbps
2.2Gbps
3Gbps
Przepustowość LB Tryb L4)
6Gbps
6Gbps
6Gbps
Połączenia LB (proxy L7)
46,000
50,000
50,000
Połączenia współbieżne LB (proxy L7)
8,000
60,000
60,000
Połączenia LB (tryb L4)
50,000
50,000
50,000
Połączenia współbieżne LB (tryb L4)
600,000
1,000,000
1,000,000
Trasy BGP
20,000
50,000
250,000
250,000
Sąsiedzi BGP
10
20
100
100
Redystrybucja tras BGP
No Limit
No Limit
No Limit
No Limit
Trasy OSPF
20,000
50,000
100,000
100,000
Wpisy OSPF LSA Maks. 750 Typ-1
20,000
50,000
100,000
100,000
Przylegania OSPF
10
20
40
40
Redystrybucja tras OSPF
2000
5000
20,000
20,000
Łączna liczba tras
20,000
50,000
250,000
250,000
→
Tabela pokazuje, że zaleca się organizowanie równoważenia na NSX Edge w przypadku scenariuszy produktywnych, zaczynając od rozmiaru Large.
To wszystko, co mam na dzisiaj. W kolejnych częściach szczegółowo omówię sposób konfiguracji każdej usługi sieciowej NSX Edge.
Źródło: www.habr.com