Če pogledate konfiguracijo katerega koli požarnega zidu, bomo najverjetneje videli list s kupom naslovov IP, vrat, protokolov in podomrežij. Tako se klasično izvajajo varnostne politike omrežja za uporabniški dostop do virov. Sprva poskušajo ohraniti red v konfiguraciji, potem pa se zaposleni začnejo premikati iz oddelka v oddelek, strežniki se množijo in spreminjajo svoje vloge, pojavi se dostop za različne projekte do mest, kjer običajno niso dovoljeni, in na stotine neznanih kozjih poti. .
Poleg nekaterih pravil, če imate srečo, so komentarji "Vasya me je prosil, naj to storim" ali "To je prehod v DMZ." Skrbnik omrežja odstopi in vse postane popolnoma nejasno. Potem se je nekdo odločil počistiti Vasyino konfiguracijo in SAP se je zrušil, ker je Vasya nekoč zahteval ta dostop za zagon bojnega SAP-a.
Danes bom govoril o rešitvi VMware NSX, ki pomaga pri natančni uporabi omrežne komunikacije in varnostnih politik brez zmede v konfiguracijah požarnega zidu. Pokazal vam bom, katere nove funkcije so se pojavile v primerjavi s tem, kar je VMware prej imel v tem delu.
VMWare NSX je virtualizacijska in varnostna platforma za omrežne storitve. NSX rešuje težave z usmerjanjem, preklapljanjem, uravnoteženjem obremenitve, požarnim zidom in lahko naredi še veliko drugih zanimivih stvari.
NSX je naslednik lastnega izdelka VMware vCloud Networking and Security (vCNS) in pridobljenega Nicira NVP.
Od vCNS do NSX
Prej je imel odjemalec ločen virtualni stroj vCNS vShield Edge v oblaku, zgrajenem na VMware vCloud. Deloval je kot mejni prehod, kjer je bilo mogoče konfigurirati številne omrežne funkcije: NAT, DHCP, požarni zid, VPN, izravnalnik obremenitve itd. vShield Edge je omejil interakcijo virtualnega stroja z zunanjim svetom v skladu s pravili, določenimi v Požarni zid in NAT. V omrežju so navidezni stroji med seboj prosto komunicirali znotraj podomrežij. Če res želite razdeliti in osvojiti promet, lahko naredite ločeno omrežje za posamezne dele aplikacij (različne virtualne stroje) in v požarnem zidu nastavite ustrezna pravila za njihovo omrežno interakcijo. Toda to je dolgo, težko in nezanimivo, še posebej, če imate več deset virtualnih strojev.
V NSX je VMware implementiral koncept mikrosegmentacije z uporabo porazdeljenega požarnega zidu, vgrajenega v jedro hipervizorja. Določa politike varnosti in omrežne interakcije ne samo za naslove IP in MAC, ampak tudi za druge objekte: virtualne stroje, aplikacije. Če je NSX nameščen znotraj organizacije, so lahko ti objekti uporabnik ali skupina uporabnikov iz imenika Active Directory. Vsak tak objekt se spremeni v mikrosegment v svoji varnostni zanki, v zahtevanem podomrežju, s svojim prijetnim DMZ :).
Prej je obstajal samo en varnostni obseg za celotno skupino virov, zaščiten z robnim stikalom, z NSX pa lahko zaščitite ločen virtualni stroj pred nepotrebnimi interakcijami, tudi znotraj istega omrežja.
Varnostni in omrežni pravilniki se prilagodijo, če se entiteta preseli v drugo omrežje. Na primer, če premaknemo stroj z bazo podatkov v drug omrežni segment ali celo v drug povezan virtualni podatkovni center, bodo pravila, zapisana za ta virtualni stroj, še naprej veljala ne glede na njegovo novo lokacijo. Aplikacijski strežnik bo še vedno lahko komuniciral z bazo podatkov.
Sam robni prehod, vCNS vShield Edge, je zamenjal NSX Edge. Ima vse gentlemanske lastnosti starega Edgea in nekaj novih uporabnih funkcij. O njih bomo še govorili.
Kaj je novega pri NSX Edge?
Funkcionalnost NSX Edge je odvisna od NSX. Pet jih je: Standard, Professional, Advanced, Enterprise, Plus Remote Branch Office. Vse novo in zanimivo je mogoče videti šele od naprednega. To vključuje nov vmesnik, ki se, dokler vCloud popolnoma ne preklopi na HTML5 (VMware obljublja poletje 2019), odpre v novem zavihku.
Požarni zid. Kot objekte, za katere bodo uporabljena pravila, lahko izberete naslove IP, omrežja, vmesnike prehodov in virtualne stroje.
DHCP. Poleg konfiguriranja obsega naslovov IP, ki bodo samodejno izdani virtualnim strojem v tem omrežju, ima NSX Edge zdaj naslednje funkcije: Zavezujoča и rele.
V zavihku Vezi Naslov MAC virtualnega stroja lahko povežete z naslovom IP, če želite, da se naslov IP ne spremeni. Glavna stvar je, da ta naslov IP ni vključen v DHCP Pool.
V zavihku rele prenos sporočil DHCP je konfiguriran za strežnike DHCP, ki se nahajajo zunaj vaše organizacije v vCloud Director, vključno s strežniki DHCP fizične infrastrukture.
Usmerjanje. vShield Edge je lahko konfiguriral samo statično usmerjanje. Tukaj se je pojavilo dinamično usmerjanje s podporo za protokola OSPF in BGP. Na voljo so postale tudi nastavitve ECMP (Active-active), kar pomeni aktivno-aktivno preklop na fizične usmerjevalnike.
Nastavitev OSPF
Nastavitev BGP
Druga novost je nastavitev prenosa poti med različnimi protokoli,
prerazporeditev poti.
Izravnalnik obremenitve L4/L7. X-Forwarded-For je bil predstavljen za glavo HTTPs. Vsi so jokali brez njega. Na primer, imate spletno mesto, ki ga uravnotežite. Brez posredovanja te glave vse deluje, vendar v statistiki spletnega strežnika niste videli IP-ja obiskovalcev, temveč IP-ja izravnalnika. Zdaj je vse v redu.
Tudi na zavihku Pravila aplikacije lahko zdaj dodate skripte, ki bodo neposredno nadzorovali uravnoteženje prometa.
VPN Poleg IPSec VPN NSX Edge podpira:
- L2 VPN, ki omogoča raztezanje omrežij med geografsko razpršenimi mesti. Takšen VPN je na primer potreben, da ob prehodu na drugo spletno mesto navidezni stroj ostane v istem podomrežju in obdrži svoj naslov IP.
- SSL VPN Plus, ki uporabnikom omogoča oddaljeno povezovanje z omrežjem podjetja. Na ravni vSphere je bila taka funkcija, za vCloud Director pa je to novost.
SSL certifikati. Potrdila je zdaj mogoče namestiti na NSX Edge. Tu spet pride do vprašanja, kdo je rabil balanser brez certifikata za https.
Združevanje predmetov. V tem zavihku določite skupine objektov, za katere bodo veljala določena pravila omrežne interakcije, na primer pravila požarnega zidu.
Ti objekti so lahko naslovi IP in MAC.
Obstaja tudi seznam storitev (kombinacija protokol-vrata) in aplikacij, ki jih je mogoče uporabiti pri ustvarjanju pravil požarnega zidu. Samo skrbnik portala vCD lahko dodaja nove storitve in aplikacije.
Statistika. Statistika povezav: promet, ki gre skozi prehod, požarni zid in izravnalnik.
Status in statistika za vsak tunel IPSEC VPN in L2 VPN.
Sečnja. V zavihku Edge Settings lahko nastavite strežnik za snemanje dnevnikov. Beleženje deluje za DNAT/SNAT, DHCP, požarni zid, usmerjanje, izravnavo, IPsec VPN, SSL VPN Plus.
Za vsak objekt/storitev so na voljo naslednje vrste opozoril:
—Odpravljanje napak
— Opozorilo
-Kritično
- Napaka
-Opozorilo
- Opaziti
— Informacije
Mere robov NSX
Odvisno od nalog, ki se rešujejo, in obsega VMware ustvarite NSX Edge v naslednjih velikostih:
NSX Edge
(Kompaktno)
NSX Edge
(Velika)
NSX Edge
(Štiriveliki)
NSX Edge
(X-veliko)
vCPE
1
2
4
6
Spomin
512MB
1GB
1GB
8GB
Disk
512MB
512MB
512MB
4.5GB + 4GB
Imenovanje
Ena stvar
aplikacija, test
podatkovno središče
Majhno
ali povprečje
podatkovno središče
Naloženo
požarni zid
Uravnoteženje
obremenitve na ravni L7
Spodaj v tabeli so metrike delovanja omrežnih storitev glede na velikost NSX Edge.
NSX Edge
(Kompaktno)
NSX Edge
(Velika)
NSX Edge
(Štiriveliki)
NSX Edge
(X-veliko)
Vmesniki
10
10
10
10
Podvmesniki (Trunk)
200
200
200
200
Pravila NAT
2,048
4,096
4,096
8,192
Vnosi ARP
Do prepisa
1,024
2,048
2,048
2,048
Pravila FW
2000
2000
2000
2000
FW Performance
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Bazeni DHCP
20,000
20,000
20,000
20,000
Poti ECMP
8
8
8
8
Statične poti
2,048
2,048
2,048
2,048
LB bazeni
64
64
64
1,024
Virtualni strežniki LB
64
64
64
1,024
LB strežnik/bazen
32
32
32
32
Zdravstveni pregledi LB
320
320
320
3,072
Pravila uporabe LB
4,096
4,096
4,096
4,096
L2VPN Clients Hub to Spoke
5
5
5
5
Omrežja L2VPN na odjemalca/strežnik
200
200
200
200
Tuneli IPSec
512
1,600
4,096
6,000
Predori SSLVPN
50
100
100
1,000
Zasebna omrežja SSLVPN
16
16
16
16
Sočasne seje
64,000
1,000,000
1,000,000
1,000,000
Seje/sekunda
8,000
50,000
50,000
50,000
LB prepustnost L7 proxy)
2.2Gbps
2.2Gbps
3Gbps
LB prepustnost način L4)
6Gbps
6Gbps
6Gbps
Povezave LB (proxy L7)
46,000
50,000
50,000
Sočasne povezave LB (proxy L7)
8,000
60,000
60,000
LB povezave/s (način L4)
50,000
50,000
50,000
Sočasne povezave LB (način L4)
600,000
1,000,000
1,000,000
Poti BGP
20,000
50,000
250,000
250,000
BGP Neighbors
10
20
100
100
Prerazporejene poti BGP
no Limit
no Limit
no Limit
no Limit
Poti OSPF
20,000
50,000
100,000
100,000
Vnosi OSPF LSA Največ 750 Tip-1
20,000
50,000
100,000
100,000
Sosedstva OSPF
10
20
40
40
Prerazporejene poti OSPF
2000
5000
20,000
20,000
Skupaj poti
20,000
50,000
250,000
250,000
→
Tabela prikazuje, da je priporočljivo organizirati uravnoteženje na NSX Edge za produktivne scenarije šele od velike velikosti.
To je vse, kar imam za danes. V naslednjih delih bom podrobno preučil, kako konfigurirati vsako omrežno storitev NSX Edge.
Vir: www.habr.com