Ak sa pozriete na konfiguráciu akéhokoľvek firewallu, s najväčšou pravdepodobnosťou uvidíme hárok s množstvom IP adries, portov, protokolov a podsietí. Takto sa klasicky implementujú politiky zabezpečenia siete pre prístup používateľov k zdrojom. Najprv sa snažia udržať poriadok v konfigurácii, ale potom sa zamestnanci začnú presúvať z oddelenia na oddelenie, servery sa množia a menia svoje úlohy, objavuje sa prístup k rôznym projektom tam, kde zvyčajne nie sú povolené, a objavujú sa stovky neznámych kozích ciest.
Vedľa niektorých pravidiel, ak budete mať šťastie, sú komentáre „Vasya ma o to požiadal“ alebo „Toto je prechod do DMZ“. Správca siete končí a všetko sa stáva úplne nejasným. Potom sa niekto rozhodol vyčistiť Vasyovu konfiguráciu a SAP zlyhal, pretože Vasya raz požiadal o tento prístup na spustenie bojového SAP.
Dnes budem hovoriť o riešení VMware NSX, ktoré pomáha presne aplikovať sieťovú komunikáciu a bezpečnostné politiky bez zmätku v konfiguráciách firewallu. Ukážem vám, aké nové funkcie sa objavili v porovnaní s tým, čo mal VMware predtým v tejto časti.
VMWare NSX je virtualizačná a bezpečnostná platforma pre sieťové služby. NSX rieši problémy smerovania, prepínania, vyvažovania záťaže, firewallu a dokáže mnoho ďalších zaujímavých vecí.
NSX je nástupcom vlastného produktu VMware vCloud Networking and Security (vCNS) a získanej Nicira NVP.
Od vCNS po NSX
Predtým mal klient samostatný virtuálny stroj vCNS vShield Edge v cloude postavenom na VMware vCloud. Fungoval ako hraničná brána, kde bolo možné konfigurovať mnohé sieťové funkcie: NAT, DHCP, Firewall, VPN, load balancer atď. vShield Edge obmedzoval interakciu virtuálneho stroja s vonkajším svetom podľa pravidiel špecifikovaných v Firewall a NAT. V rámci siete virtuálne stroje medzi sebou voľne komunikovali v rámci podsietí. Ak chcete naozaj rozdeliť a podmaniť si prevádzku, môžete vytvoriť samostatnú sieť pre jednotlivé časti aplikácií (rôzne virtuálne stroje) a nastaviť príslušné pravidlá ich sieťovej interakcie vo firewalle. Ale to je dlhé, ťažké a nezaujímavé, najmä ak máte niekoľko desiatok virtuálnych strojov.
V NSX VMware implementoval koncept mikro-segmentácie pomocou distribuovaného firewallu zabudovaného do jadra hypervízora. Špecifikuje zásady bezpečnosti a sieťovej interakcie nielen pre IP a MAC adresy, ale aj pre iné objekty: virtuálne stroje, aplikácie. Ak je NSX nasadený v rámci organizácie, tieto objekty môžu byť používateľom alebo skupinou používateľov zo služby Active Directory. Každý takýto objekt sa premení na mikrosegment vo vlastnej bezpečnostnej slučke, v požadovanej podsieti, s vlastným útulným DMZ :).
Predtým existoval iba jeden bezpečnostný perimeter pre celý fond zdrojov chránený okrajovým prepínačom, ale s NSX môžete chrániť samostatný virtuálny stroj pred zbytočnými interakciami, dokonca aj v rámci rovnakej siete.
Bezpečnostné a sieťové politiky sa prispôsobia, ak sa entita presunie do inej siete. Ak napríklad presunieme stroj s databázou do iného segmentu siete alebo dokonca do iného pripojeného virtuálneho dátového centra, potom pravidlá napísané pre tento virtuálny stroj budú naďalej platiť bez ohľadu na jeho nové umiestnenie. Aplikačný server bude stále schopný komunikovať s databázou.
Samotná okrajová brána, vCNS vShield Edge, bola nahradená NSX Edge. Má všetky džentlmenské funkcie starého Edge plus niekoľko nových užitočných funkcií. Budeme o nich hovoriť ďalej.
Čo je nové s NSX Edge?
Funkčnosť NSX Edge závisí od NSX. Je ich päť: Standard, Professional, Advanced, Enterprise, Plus Remote Branch Office. Všetko nové a zaujímavé môžete vidieť až od Advanced. Vrátane nového rozhrania, ktoré, kým sa vCloud úplne neprepne na HTML5 (VMware sľubuje leto 2019), sa otvorí na novej karte.
POŽARNE dvere. Ako objekty, na ktoré sa použijú pravidlá, môžete vybrať adresy IP, siete, rozhrania brán a virtuálne stroje.
DHCP. Okrem konfigurácie rozsahu adries IP, ktoré budú automaticky pridelené virtuálnym počítačom v tejto sieti, má teraz NSX Edge nasledujúce funkcie: Väzba и relé.
V záložke viazanie Adresu MAC virtuálneho počítača môžete naviazať na adresu IP, ak potrebujete, aby sa adresa IP nezmenila. Hlavná vec je, že táto adresa IP nie je zahrnutá do fondu DHCP.
V záložke relé prenos správ DHCP je nakonfigurovaný na servery DHCP, ktoré sa nachádzajú mimo vašej organizácie v aplikácii vCloud Director, vrátane serverov DHCP fyzickej infraštruktúry.
Smerovanie. vShield Edge mohol nakonfigurovať iba statické smerovanie. Objavilo sa tu dynamické smerovanie s podporou protokolov OSPF a BGP. Sprístupnili sa aj nastavenia ECMP (Active-active), čo znamená aktívne-aktívne prepnutie na fyzické smerovače.
Nastavenie OSPF
Nastavenie BGP
Ďalšou novinkou je nastavenie prenosu trás medzi rôznymi protokolmi,
prerozdelenie trasy.
L4/L7 Load Balancer. Pre hlavičku HTTPs bolo zavedené X-Forwarded-For. Všetci plakali bez neho. Napríklad máte webovú stránku, ktorú vyvažujete. Bez preposielania tejto hlavičky všetko funguje, ale v štatistikách webového servera ste nevideli IP návštevníkov, ale IP balancera. Teraz je všetko správne.
Na karte Pravidlá aplikácie teraz môžete pridať skripty, ktoré budú priamo riadiť vyrovnávanie návštevnosti.
vpn. Okrem IPSec VPN podporuje NSX Edge:
- L2 VPN, ktorá vám umožňuje roztiahnuť siete medzi geograficky rozptýlenými lokalitami. Takáto VPN je potrebná napríklad preto, aby pri presune na inú lokalitu virtuálny stroj zostal v rovnakej podsieti a zachoval si svoju IP adresu.
- SSL VPN Plus, ktorá umožňuje používateľom vzdialené pripojenie k podnikovej sieti. Na úrovni vSphere takáto funkcia bola, ale pre vCloud Director je to inovácia.
SSL certifikáty. Certifikáty je teraz možné nainštalovať na NSX Edge. Tu opäť prichádza k otázke, kto potreboval balancer bez certifikátu pre https.
Zoskupovanie objektov. Na tejto karte sú špecifikované skupiny objektov, pre ktoré budú platiť určité pravidlá sieťovej interakcie, napríklad pravidlá brány firewall.
Týmito objektmi môžu byť adresy IP a MAC.
Nechýba ani zoznam služieb (kombinácia protokol-port) a aplikácií, ktoré je možné použiť pri vytváraní pravidiel brány firewall. Nové služby a aplikácie môže pridávať iba správca portálu vCD.
Štatistiky. Štatistika pripojenia: prevádzka, ktorá prechádza bránou, firewallom a balancérom.
Stav a štatistiky pre každý tunel IPSEC VPN a L2 VPN.
Ťažba dreva. Na karte Edge Settings môžete nastaviť server na zaznamenávanie protokolov. Protokolovanie funguje pre DNAT/SNAT, DHCP, Firewall, smerovanie, balancer, IPsec VPN, SSL VPN Plus.
Pre každý objekt/službu sú k dispozícii nasledujúce typy upozornení:
— Ladiť
— Upozornenie
— Kritické
- Chyba
-POZOR
— Všimnite si
- Info
Rozmery okrajov NSX
V závislosti od riešených úloh a objemu VMware vytvorte NSX Edge v nasledujúcich veľkostiach:
NSX Edge
(Kompaktný)
NSX Edge
(Veľký)
NSX Edge
(štvor-veľký)
NSX Edge
(X-Large)
vCPU
1
2
4
6
Memory Masážne stoly
512MB
1GB
1GB
8GB
Disk
512MB
512MB
512MB
4.5GB + 4GB
Menovanie
Jeden
aplikácia, test
dátové centrum
Malý
alebo priemer
dátové centrum
Naložený
POŽARNE DVERE
vyvažovanie
zaťaženie na úrovni L7
Nižšie v tabuľke sú prevádzkové metriky sieťových služieb v závislosti od veľkosti NSX Edge.
NSX Edge
(Kompaktný)
NSX Edge
(Veľký)
NSX Edge
(štvor-veľký)
NSX Edge
(X-Large)
rozhranie
10
10
10
10
Vedľajšie rozhrania (kufor)
200
200
200
200
Pravidlá NAT
2,048
4,096
4,096
8,192
Záznamy ARP
Až do prepísania
1,024
2,048
2,048
2,048
Pravidlá FW
2000
2000
2000
2000
Výkon FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Fondy DHCP
20,000
20,000
20,000
20,000
ECMP cesty
8
8
8
8
Statické trasy
2,048
2,048
2,048
2,048
LB bazény
64
64
64
1,024
Virtuálne servery LB
64
64
64
1,024
Server/Pool LB
32
32
32
32
Zdravotné kontroly LB
320
320
320
3,072
Pravidlá aplikácie LB
4,096
4,096
4,096
4,096
L2VPN Clients Hub to Spoke
5
5
5
5
Siete L2VPN na klienta/server
200
200
200
200
Tunely IPSec
512
1,600
4,096
6,000
Tunely SSLVPN
50
100
100
1,000
Súkromné siete SSLVPN
16
16
16
16
Súbežné relácie
64,000
1,000,000
1,000,000
1,000,000
Sessions/Second
8,000
50,000
50,000
50,000
Priepustnosť LB L7 proxy)
2.2Gbps
2.2Gbps
3Gbps
Priepustnosť LB režim L4)
6Gbps
6Gbps
6Gbps
LB pripojenia/s (L7 Proxy)
46,000
50,000
50,000
Súbežné pripojenia LB (L7 Proxy)
8,000
60,000
60,000
LB pripojenia/s (režim L4)
50,000
50,000
50,000
Súbežné pripojenia LB (režim L4)
600,000
1,000,000
1,000,000
BGP trasy
20,000
50,000
250,000
250,000
BGP susedia
10
20
100
100
Redistribuované trasy BGP
Bez obmedzenia
Bez obmedzenia
Bez obmedzenia
Bez obmedzenia
Trasy OSPF
20,000
50,000
100,000
100,000
Max. počet záznamov OSPF LSA 750 typu 1
20,000
50,000
100,000
100,000
OSPF susedstvo
10
20
40
40
Redistribuované trasy OSPF
2000
5000
20,000
20,000
Celkový počet trás
20,000
50,000
250,000
250,000
→
Tabuľka ukazuje, že sa odporúča organizovať vyvažovanie na NSX Edge pre produktívne scenáre, ktoré začínajú od veľkej veľkosti.
To je všetko, čo mám na dnes. V nasledujúcich častiach podrobne prevediem, ako nakonfigurovať každú sieťovú službu NSX Edge.
Zdroj: hab.com