Dacă te uiți la configurația oricărui firewall, atunci cel mai probabil vom vedea o foaie cu o grămadă de adrese IP, porturi, protocoale și subrețele. Acesta este modul în care politicile de securitate a rețelei pentru accesul utilizatorilor la resurse sunt în mod clasic implementate. La început încearcă să mențină ordinea în configurație, dar apoi angajații încep să treacă de la departament la departament, serverele se înmulțesc și își schimbă rolurile, accesul pentru diferite proiecte apare acolo unde de obicei nu le este permis și apar sute de căi de capră necunoscute.
Pe lângă unele reguli, dacă ai noroc, există comentarii „Vasya mi-a cerut să fac asta” sau „Acesta este un pasaj către DMZ”. Administratorul de rețea se închide și totul devine complet neclar. Apoi cineva a decis să ștergă configurația lui Vasya și SAP s-a prăbușit, deoarece Vasya a cerut odată acest acces pentru a rula SAP de luptă.
Astăzi voi vorbi despre soluția VMware NSX, care ajută la aplicarea precisă a politicilor de comunicare și securitate în rețea, fără confuzii în configurațiile firewall-ului. Vă voi arăta ce caracteristici noi au apărut în comparație cu ceea ce avea VMware anterior în această parte.
VMWare NSX este o platformă de virtualizare și securitate pentru servicii de rețea. NSX rezolvă problemele de rutare, comutare, echilibrare a încărcăturii, firewall și poate face multe alte lucruri interesante.
NSX este succesorul propriului produs vCloud Networking and Security (vCNS) al VMware și al NVP achiziționat Nicira.
De la vCNS la NSX
Anterior, un client avea o mașină virtuală separată vCNS vShield Edge într-un nor construit pe VMware vCloud. A acționat ca o poartă de frontieră, unde a fost posibilă configurarea multor funcții de rețea: NAT, DHCP, Firewall, VPN, load balancer etc. vShield Edge a limitat interacțiunea mașinii virtuale cu lumea exterioară conform regulilor specificate în Firewall și NAT. În cadrul rețelei, mașinile virtuale comunicau între ele liber în cadrul subrețelelor. Dacă doriți cu adevărat să împărțiți și să cuceriți traficul, puteți crea o rețea separată pentru părți individuale ale aplicațiilor (diferite mașini virtuale) și puteți stabili regulile adecvate pentru interacțiunea lor în rețea în firewall. Dar acest lucru este lung, dificil și neinteresant, mai ales când aveți câteva zeci de mașini virtuale.
În NSX, VMware a implementat conceptul de micro-segmentare folosind un firewall distribuit încorporat în nucleul hypervisor. Specifică politici de securitate și interacțiune cu rețea nu numai pentru adresele IP și MAC, ci și pentru alte obiecte: mașini virtuale, aplicații. Dacă NSX este implementat într-o organizație, aceste obiecte pot fi un utilizator sau un grup de utilizatori din Active Directory. Fiecare astfel de obiect se transformă într-un microsegment în propria buclă de securitate, în subrețeaua necesară, cu propriul său DMZ confortabil :).
Anterior, exista un singur perimetru de securitate pentru întregul pool de resurse, protejat de un comutator de margine, dar cu NSX puteți proteja o mașină virtuală separată de interacțiunile inutile, chiar și în cadrul aceleiași rețele.
Politicile de securitate și de rețea se adaptează dacă o entitate se mută într-o rețea diferită. De exemplu, dacă mutăm o mașină cu o bază de date într-un alt segment de rețea sau chiar într-un alt centru de date virtual conectat, atunci regulile scrise pentru această mașină virtuală vor continua să se aplice indiferent de noua sa locație. Serverul de aplicații va putea în continuare să comunice cu baza de date.
Gateway-ul edge în sine, vCNS vShield Edge, a fost înlocuit cu NSX Edge. Are toate caracteristicile domnești ale vechiului Edge, plus câteva funcții utile noi. Despre ele vom vorbi mai departe.
Ce este nou cu NSX Edge?
Funcționalitatea NSX Edge depinde de NSX. Există cinci dintre ele: Standard, Professional, Advanced, Enterprise, Plus Remote Branch Office. Tot ce este nou și interesant poate fi văzut doar începând cu Advanced. Inclusiv o nouă interfață, care, până când vCloud trece complet la HTML5 (VMware promite vara 2019), se deschide într-o filă nouă.
Firewall. Puteți selecta adrese IP, rețele, interfețe gateway și mașini virtuale ca obiecte cărora li se vor aplica regulile.
DHCP. Pe lângă configurarea intervalului de adrese IP care vor fi emise automat mașinilor virtuale din această rețea, NSX Edge are acum următoarele funcții: Obligatoriu и Releu.
În fila Bindings Puteți lega adresa MAC a unei mașini virtuale la o adresă IP dacă aveți nevoie ca adresa IP să nu fie schimbată. Principalul lucru este că această adresă IP nu este inclusă în pool-ul DHCP.
În fila Releu retransmisie de mesaje DHCP este configurată pentru serverele DHCP care sunt situate în afara organizației dvs. în vCloud Director, inclusiv serverele DHCP ale infrastructurii fizice.
Dirijare. vShield Edge a putut configura doar rutarea statică. Rutarea dinamică cu suport pentru protocoalele OSPF și BGP a apărut aici. Setările ECMP (Active-active) au devenit și ele disponibile, ceea ce înseamnă failover activ-activ către routerele fizice.
Configurarea OSPF
Configurarea BGP
Un alt lucru nou este configurarea transferului de rute între diferite protocoale,
redistribuirea rutelor.
L4/L7 Load Balancer. X-Forwarded-For a fost introdus pentru antetul HTTPs. Toată lumea plângea fără el. De exemplu, aveți un site web pe care îl echilibrați. Fără a redirecționa acest antet, totul funcționează, dar în statisticile serverului web ați văzut nu IP-ul vizitatorilor, ci IP-ul echilibrantului. Acum totul este corect.
De asemenea, în fila Reguli de aplicație puteți adăuga acum scripturi care vor controla direct echilibrarea traficului.
vpn. Pe lângă VPN IPSec, NSX Edge acceptă:
- VPN L2, care vă permite să extindeți rețelele între site-uri dispersate geografic. Un astfel de VPN este necesar, de exemplu, pentru ca atunci când se mută pe alt site, mașina virtuală să rămână în aceeași subrețea și să își păstreze adresa IP.
- SSL VPN Plus, care permite utilizatorilor să se conecteze de la distanță la o rețea corporativă. La nivel de vSphere a existat o astfel de funcție, dar pentru vCloud Director aceasta este o inovație.
Certificate SSL. Certificatele pot fi acum instalate pe NSX Edge. Aceasta vine din nou la întrebarea cine avea nevoie de un echilibrator fără certificat pentru https.
Gruparea obiectelor. În această filă, sunt specificate grupuri de obiecte pentru care se vor aplica anumite reguli de interacțiune cu rețea, de exemplu, reguli de firewall.
Aceste obiecte pot fi adrese IP și MAC.
Există, de asemenea, o listă de servicii (combinație protocol-port) și aplicații care pot fi utilizate la crearea regulilor de firewall. Numai administratorul portalului vCD poate adăuga servicii și aplicații noi.
Statistici. Statistici de conexiune: trafic care trece prin gateway, firewall și echilibrator.
Stare și statistici pentru fiecare tunel VPN IPSEC și VPN L2.
Logare. În fila Setări Edge, puteți seta serverul pentru înregistrarea jurnalelor. Înregistrarea funcționează pentru DNAT/SNAT, DHCP, Firewall, rutare, echilibrare, IPsec VPN, SSL VPN Plus.
Următoarele tipuri de alerte sunt disponibile pentru fiecare obiect/serviciu:
— Depanați
-Alerta
-Critic
- Eroare
-Avertizare
- Înștiințare
— Info
NSX Edge Dimensions
În funcție de sarcinile rezolvate și de volumul VMware creați NSX Edge în următoarele dimensiuni:
NSX Edge
(Compact)
NSX Edge
(Mare)
NSX Edge
(Patru-mare)
NSX Edge
(Extra larg)
vCPU
1
2
4
6
Memorie
512MB
1GB
1GB
8GB
Disc
512MB
512MB
512MB
4.5GB + 4GB
Numire
unu
aplicare, testare
centru de date
Mic
sau medie
centru de date
Încărcat
firewall
Balansare
sarcini la nivelul L7
Mai jos în tabel sunt valorile de operare a serviciilor de rețea în funcție de dimensiunea NSX Edge.
NSX Edge
(Compact)
NSX Edge
(Mare)
NSX Edge
(Patru-mare)
NSX Edge
(Extra larg)
Interfețe
10
10
10
10
Sub-interfețe (trunchi)
200
200
200
200
Regulile NAT
2,048
4,096
4,096
8,192
Intrări ARP
Până la suprascriere
1,024
2,048
2,048
2,048
Reguli FW
2000
2000
2000
2000
Performanță FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Pool-uri DHCP
20,000
20,000
20,000
20,000
Căi ECMP
8
8
8
8
Rute statice
2,048
2,048
2,048
2,048
Bazine LB
64
64
64
1,024
Servere virtuale LB
64
64
64
1,024
LB Server/Piscină
32
32
32
32
Controale de sănătate LB
320
320
320
3,072
Reguli de aplicare a LB
4,096
4,096
4,096
4,096
L2VPN Clients Hub to Spoke
5
5
5
5
Rețele L2VPN per client/server
200
200
200
200
Tuneluri IPSec
512
1,600
4,096
6,000
Tuneluri SSLVPN
50
100
100
1,000
Rețele private SSLVPN
16
16
16
16
Sesiuni concurente
64,000
1,000,000
1,000,000
1,000,000
Sesiuni/Al doilea
8,000
50,000
50,000
50,000
LB Throughput L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
Debit LB Mod L4)
6Gbps
6Gbps
6Gbps
Conexiuni LB/e (Proxy L7)
46,000
50,000
50,000
Conexiuni simultane LB (proxy L7)
8,000
60,000
60,000
Conexiuni LB/e (mod L4)
50,000
50,000
50,000
Conexiuni simultane LB (mod L4)
600,000
1,000,000
1,000,000
Rute BGP
20,000
50,000
250,000
250,000
Vecinii BGP
10
20
100
100
Rute BGP redistribuite
Fara limita
Fara limita
Fara limita
Fara limita
Rute OSPF
20,000
50,000
100,000
100,000
Intrări OSPF LSA Max 750 de tip-1
20,000
50,000
100,000
100,000
Adiacente OSPF
10
20
40
40
Rute OSPF redistribuite
2000
5000
20,000
20,000
Rute totale
20,000
50,000
250,000
250,000
→
Tabelul arată că se recomandă organizarea echilibrării pe NSX Edge pentru scenarii productive doar pornind de la dimensiunea mare.
Asta e tot ce am pentru azi. În următoarele părți, voi analiza în detaliu modul de configurare a fiecărui serviciu de rețea NSX Edge.
Sursa: www.habr.com