Se você observar a configuração de qualquer firewall, provavelmente veremos uma planilha com vários endereços IP, portas, protocolos e sub-redes. É assim que as políticas de segurança de rede para acesso dos usuários aos recursos são implementadas classicamente. No início, eles tentam manter a ordem na configuração, mas depois os funcionários começam a se mover de departamento em departamento, os servidores se multiplicam e mudam suas funções, o acesso para diferentes projetos aparece onde normalmente não é permitido e surgem centenas de caminhos de cabras desconhecidos.
Ao lado de algumas regras, se você tiver sorte, há comentários “Vasya me pediu para fazer isso” ou “Esta é uma passagem para a DMZ”. O administrador da rede sai e tudo fica completamente confuso. Então alguém decidiu limpar a configuração do Vasya e o SAP travou, porque uma vez Vasya solicitou esse acesso para executar o SAP de combate.
Hoje falarei sobre a solução VMware NSX, que ajuda a aplicar com precisão a comunicação de rede e políticas de segurança sem confusão nas configurações do firewall. Vou mostrar quais novos recursos surgiram em comparação com o que o VMware tinha anteriormente nesta parte.
VMWare NSX é uma plataforma de virtualização e segurança para serviços de rede. O NSX resolve problemas de roteamento, switching, balanceamento de carga, firewall e pode fazer muitas outras coisas interessantes.
NSX é o sucessor do produto vCloud Networking and Security (vCNS) da própria VMware e do adquirido Nicira NVP.
Do vCNS ao NSX
Anteriormente, um cliente tinha uma máquina virtual vCNS vShield Edge separada em uma nuvem criada no VMware vCloud. Funcionava como um gateway de fronteira, onde era possível configurar diversas funções de rede: NAT, DHCP, Firewall, VPN, balanceador de carga, etc. O vShield Edge limitava a interação da máquina virtual com o mundo externo de acordo com as regras especificadas no Firewall e NAT. Dentro da rede, as máquinas virtuais comunicavam-se livremente entre si em sub-redes. Se você realmente deseja dividir e conquistar o tráfego, você pode criar uma rede separada para partes individuais dos aplicativos (diferentes máquinas virtuais) e definir as regras apropriadas para sua interação de rede no firewall. Mas isso é longo, difícil e desinteressante, especialmente quando você tem várias dezenas de máquinas virtuais.
No NSX, a VMware implementou o conceito de microssegmentação usando um firewall distribuído integrado ao kernel do hipervisor. Especifica políticas de segurança e interação de rede não apenas para endereços IP e MAC, mas também para outros objetos: máquinas virtuais, aplicativos. Se o NSX for implantado em uma organização, esses objetos poderão ser um usuário ou grupo de usuários do Active Directory. Cada um desses objetos se transforma em um microssegmento em seu próprio loop de segurança, na sub-rede necessária, com seu próprio DMZ aconchegante :).
Anteriormente, havia apenas um perímetro de segurança para todo o pool de recursos, protegido por um switch de borda, mas com o NSX você pode proteger uma máquina virtual separada contra interações desnecessárias, mesmo dentro da mesma rede.
As políticas de segurança e de rede se adaptam caso uma entidade mude para uma rede diferente. Por exemplo, se movermos uma máquina com banco de dados para outro segmento de rede ou mesmo para outro data center virtual conectado, as regras escritas para esta máquina virtual continuarão a ser aplicadas independentemente de sua nova localização. O servidor de aplicativos ainda poderá se comunicar com o banco de dados.
O próprio edge gateway, vCNS vShield Edge, foi substituído pelo NSX Edge. Ele possui todos os recursos cavalheirescos do antigo Edge, além de alguns novos recursos úteis. Falaremos sobre eles mais adiante.
O que há de novo no NSX Edge?
A funcionalidade do NSX Edge depende de NSX. Existem cinco deles: Standard, Professional, Advanced, Enterprise, Plus Remote Branch Office. Tudo o que é novo e interessante só pode ser visto a partir do Advanced. Incluindo uma nova interface, que, até que o vCloud mude completamente para HTML5 (a VMware promete o verão de 2019), abre em uma nova aba.
Firewall Você pode selecionar endereços IP, redes, interfaces de gateway e máquinas virtuais como objetos aos quais as regras serão aplicadas.
DHCP. Além de configurar o intervalo de endereços IP que serão emitidos automaticamente para máquinas virtuais nesta rede, o NSX Edge agora conta com as seguintes funções: Confeção и Retransmissão.
Na guia Ligações Você pode vincular o endereço MAC de uma máquina virtual a um endereço IP se precisar que o endereço IP não seja alterado. O principal é que este endereço IP não está incluído no Pool DHCP.
Na guia Retransmissão a retransmissão de mensagens DHCP é configurada para servidores DHCP localizados fora da sua organização no vCloud Director, incluindo servidores DHCP da infraestrutura física.
Roteamento. O vShield Edge só podia configurar o roteamento estático. O roteamento dinâmico com suporte aos protocolos OSPF e BGP apareceu aqui. As configurações de ECMP (ativo-ativo) também foram disponibilizadas, o que significa failover ativo-ativo para roteadores físicos.
Configurando OSPF
Configurando o BGP
Outra novidade é configurar a transferência de rotas entre diferentes protocolos,
redistribuição de rotas.
Balanceador de carga L4/L7. X-Forwarded-For foi introduzido para o cabeçalho HTTPs. Todos choraram sem ele. Por exemplo, você tem um site que está equilibrando. Sem encaminhar esse cabeçalho tudo funciona, mas nas estatísticas do servidor web você viu não o IP dos visitantes, mas sim o IP do balanceador. Agora está tudo certo.
Também na guia Regras de Aplicativo agora você pode adicionar scripts que controlarão diretamente o balanceamento de tráfego.
VPN Além da VPN IPSec, o NSX Edge oferece suporte a:
- VPN L2, que permite estender redes entre sites geograficamente dispersos. Essa VPN é necessária, por exemplo, para que, ao mudar para outro site, a máquina virtual permaneça na mesma sub-rede e mantenha seu endereço IP.
- SSL VPN Plus, que permite aos usuários conectar-se remotamente a uma rede corporativa. No nível do vSphere existia essa função, mas para o vCloud Director isso é uma inovação.
Certificados SSL. Os certificados agora podem ser instalados no NSX Edge. Isso novamente levanta a questão de quem precisava de um balanceador sem certificado para https.
Agrupando objetos. Nesta guia, são especificados grupos de objetos aos quais serão aplicadas determinadas regras de interação de rede, por exemplo, regras de firewall.
Esses objetos podem ser endereços IP e MAC.
Há também uma lista de serviços (combinação protocolo-porta) e aplicativos que podem ser usados ao criar regras de firewall. Somente o administrador do portal vCD pode adicionar novos serviços e aplicativos.
Estatísticas Estatísticas de conexão: tráfego que passa pelo gateway, firewall e balanceador.
Status e estatísticas para cada túnel VPN IPSEC e VPN L2.
Exploração madeireira. Na guia Configurações do Edge, você pode definir o servidor para gravação de logs. O registro funciona para DNAT/SNAT, DHCP, Firewall, roteamento, balanceador, VPN IPsec, SSL VPN Plus.
Os seguintes tipos de alertas estão disponíveis para cada objeto/serviço:
-Depurar
-Alerta
-Crítico
- Erro
-Aviso
- Perceber
- Informações
Dimensões do NSX Edge
Dependendo das tarefas que estão sendo resolvidas e do volume de VMware crie o NSX Edge nos seguintes tamanhos:
Borda NSX
(Compactar)
Borda NSX
(Ampla)
Borda NSX
(Quad-Grande)
Borda NSX
(Extra grande)
vCPU
1
2
4
6
Memória
512MB
1GB
1GB
8GB
Disco
512MB
512MB
512MB
4.5GB + 4GB
Nomeação
Uma coisa
aplicação, teste
Centro de dados
Pequeno
ou média
Centro de dados
Carregado
firewall
Equilíbrio
cargas no nível L7
Abaixo na tabela estão as métricas operacionais dos serviços de rede dependendo do tamanho do NSX Edge.
Borda NSX
(Compactar)
Borda NSX
(Ampla)
Borda NSX
(Quad-Grande)
Borda NSX
(Extra grande)
Interfaces
10
10
10
10
Subinterfaces (tronco)
200
200
200
200
Regras de NAT
2,048
4,096
4,096
8,192
Entradas ARP
Até substituir
1,024
2,048
2,048
2,048
Regras de firmware
2000
2000
2000
2000
Desempenho do firmware
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Conjuntos DHCP
20,000
20,000
20,000
20,000
Caminhos ECMP
8
8
8
8
Rotas Estáticas
2,048
2,048
2,048
2,048
Piscinas LB
64
64
64
1,024
Servidores Virtuais LB
64
64
64
1,024
Servidor/Pool LB
32
32
32
32
Verificações de saúde do LB
320
320
320
3,072
Regras de aplicação de LB
4,096
4,096
4,096
4,096
Hub de clientes L2VPN para falar
5
5
5
5
Redes L2VPN por cliente/servidor
200
200
200
200
Túneis IPSec
512
1,600
4,096
6,000
Túneis SSLVPN
50
100
100
1,000
Redes Privadas SSLVPN
16
16
16
16
Sessões Simultâneas
64,000
1,000,000
1,000,000
1,000,000
Sessões/segundo
8,000
50,000
50,000
50,000
Proxy L7 de taxa de transferência LB)
2.2Gbps
2.2Gbps
3Gbps
Modo L4 de taxa de transferência LB)
6Gbps
6Gbps
6Gbps
Conexões LB (Proxy L7)
46,000
50,000
50,000
Conexões simultâneas LB (proxy L7)
8,000
60,000
60,000
Conexões LB (modo L4)
50,000
50,000
50,000
Conexões simultâneas LB (modo L4)
600,000
1,000,000
1,000,000
Rotas BGP
20,000
50,000
250,000
250,000
Vizinhos BGP
10
20
100
100
Rotas BGP redistribuídas
Sem Limite
Sem Limite
Sem Limite
Sem Limite
Rotas OSPF
20,000
50,000
100,000
100,000
Entradas OSPF LSA Max 750 Tipo-1
20,000
50,000
100,000
100,000
Adjacências OSPF
10
20
40
40
Rotas OSPF redistribuídas
2000
5000
20,000
20,000
Rotas totais
20,000
50,000
250,000
250,000
→
A tabela mostra que é recomendado organizar o balanceamento no NSX Edge para cenários produtivos somente a partir do tamanho Grande.
Isso é tudo que tenho por hoje. Nas partes a seguir, explicarei detalhadamente como configurar cada serviço de rede do NSX Edge.
Fonte: habr.com