Nëse shikoni konfigurimin e ndonjë muri zjarri, atëherë ka shumë të ngjarë që do të shohim një fletë me një mori adresash IP, porte, protokolle dhe nënrrjeta. Kështu zbatohen në mënyrë klasike politikat e sigurisë së rrjetit për aksesin e përdoruesve në burime. Në fillim ata përpiqen të ruajnë rendin në konfigurim, por më pas punonjësit fillojnë të lëvizin nga departamenti në departament, serverët shumëzohen dhe ndryshojnë rolet e tyre, aksesi për projekte të ndryshme shfaqet aty ku zakonisht nuk lejohen dhe dalin qindra shtigje të panjohura dhie.
Pranë disa rregullave, nëse jeni me fat, ka komente "Vasya më kërkoi ta bëja këtë" ose "Ky është një pasazh në DMZ". Administratori i rrjetit largohet dhe gjithçka bëhet plotësisht e paqartë. Pastaj dikush vendosi të pastronte konfigurimin e Vasya dhe SAP u rrëzua, sepse Vasya dikur kërkoi këtë qasje për të drejtuar SAP luftarake.
Sot do të flas për zgjidhjen VMware NSX, e cila ndihmon në zbatimin e saktë të politikave të komunikimit dhe sigurisë së rrjetit pa konfuzion në konfigurimet e murit të zjarrit. Unë do t'ju tregoj se cilat veçori të reja janë shfaqur në krahasim me atë që VMware kishte më parë në këtë pjesë.
VMWare NSX është një platformë virtualizimi dhe sigurie për shërbimet e rrjetit. NSX zgjidh problemet e rrugëtimit, ndërrimit, balancimit të ngarkesës, murit të zjarrit dhe shumë gjëra të tjera interesante.
NSX është pasardhësi i produktit të vet vCloud Networking and Security (vCNS) të VMware dhe i Nicira NVP i blerë.
Nga vCNS në NSX
Më parë, një klient kishte një makinë virtuale të veçantë vCNS vShield Edge në një re të ndërtuar në VMware vCloud. Ajo veproi si një portë kufitare, ku ishte e mundur të konfiguroheshin shumë funksione të rrjetit: NAT, DHCP, Firewall, VPN, balancuesi i ngarkesës, etj. vShield Edge kufizoi ndërveprimin e makinës virtuale me botën e jashtme sipas rregullave të specifikuara në Firewall dhe NAT. Brenda rrjetit, makinat virtuale komunikonin me njëra-tjetrën lirisht brenda nën-rrjeteve. Nëse vërtet dëshironi të ndani dhe pushtoni trafikun, mund të krijoni një rrjet të veçantë për pjesë të veçanta të aplikacioneve (makina të ndryshme virtuale) dhe të vendosni rregullat e duhura për ndërveprimin e tyre në rrjet në murin e zjarrit. Por kjo është e gjatë, e vështirë dhe jo interesante, veçanërisht kur keni disa dhjetëra makina virtuale.
Në NSX, VMware zbatoi konceptin e mikro-segmentimit duke përdorur një mur zjarri të shpërndarë të ndërtuar në kernelin e hipervizorit. Ai specifikon politikat e sigurisë dhe ndërveprimit në rrjet jo vetëm për adresat IP dhe MAC, por edhe për objektet e tjera: makinat virtuale, aplikacionet. Nëse NSX vendoset brenda një organizate, këto objekte mund të jenë një përdorues ose grup përdoruesish nga Active Directory. Secili objekt i tillë kthehet në një mikrosegment në qarkun e vet të sigurisë, në nënrrjetin e kërkuar, me DMZ-në e tij komode :).
Më parë, kishte vetëm një perimetër sigurie për të gjithë grupin e burimeve, i mbrojtur nga një ndërprerës skaji, por me NSX mund të mbroni një makinë virtuale të veçantë nga ndërveprimet e panevojshme, madje edhe brenda të njëjtit rrjet.
Politikat e sigurisë dhe të rrjetit përshtaten nëse një njësi ekonomike kalon në një rrjet tjetër. Për shembull, nëse zhvendosim një makinë me një bazë të dhënash në një segment tjetër rrjeti ose edhe në një qendër tjetër të lidhur virtuale të të dhënave, atëherë rregullat e shkruara për këtë makinë virtuale do të vazhdojnë të zbatohen pavarësisht vendndodhjes së saj të re. Serveri i aplikacionit do të jetë ende në gjendje të komunikojë me bazën e të dhënave.
Vetë porta e skajit, vCNS vShield Edge, është zëvendësuar nga NSX Edge. Ai ka të gjitha tiparet xhentëlmenësh të Edge të vjetër, plus disa veçori të reja të dobishme. Ne do të flasim për to më tej.
Çfarë ka të re me NSX Edge?
Funksionaliteti i NSX Edge varet nga
muri i zjarrit. Ju mund të zgjidhni adresat IP, rrjetet, ndërfaqet e portës dhe makinat virtuale si objekte për të cilat do të zbatohen rregullat.
DHCP Përveç konfigurimit të gamës së adresave IP që do të lëshohen automatikisht për makinat virtuale në këtë rrjet, NSX Edge tani ka funksionet e mëposhtme: Detyrues и rele.
Në skedën lidhjet Ju mund të lidhni adresën MAC të një makinerie virtuale me një adresë IP nëse keni nevojë që adresa IP të mos ndryshojë. Gjëja kryesore është që kjo adresë IP nuk përfshihet në grupin DHCP.
Në skedën rele transmetimi i mesazheve DHCP është konfiguruar në serverët DHCP që ndodhen jashtë organizatës suaj në vCloud Director, duke përfshirë serverët DHCP të infrastrukturës fizike.
Drejtimi. vShield Edge mund të konfiguronte vetëm rrugëzimin statik. Drejtimi dinamik me mbështetje për protokollet OSPF dhe BGP u shfaq këtu. Cilësimet ECMP (Active-active) janë bërë gjithashtu të disponueshme, që do të thotë dështim aktiv-aktive në ruterat fizikë.
Vendosja e OSPF
Vendosja e BGP
Një tjetër gjë e re është vendosja e transferimit të rrugëve midis protokolleve të ndryshme,
rishpërndarja e rrugës.
L4/L7 Load Balancer. X-Forwarded-For u prezantua për kokën e HTTP-ve. Të gjithë qanin pa të. Për shembull, ju keni një faqe interneti që po balanconi. Pa përcjellë këtë kokë, gjithçka funksionon, por në statistikat e serverit në internet nuk keni parë IP-në e vizitorëve, por IP-në e balancuesit. Tani gjithçka është në rregull.
Gjithashtu në skedën "Rregullat e aplikimit" tani mund të shtoni skripta që do të kontrollojnë drejtpërdrejt balancimin e trafikut.
VPN Përveç IPSec VPN, NSX Edge mbështet:
- L2 VPN, i cili ju lejon të shtrini rrjetet midis vendeve të shpërndara gjeografikisht. Një VPN e tillë nevojitet, për shembull, në mënyrë që kur kaloni në një faqe tjetër, makina virtuale të mbetet në të njëjtin nënrrjet dhe të ruajë adresën e saj IP.
- SSL VPN Plus, i cili lejon përdoruesit të lidhen nga distanca me një rrjet të korporatës. Në nivelin vSphere ekzistonte një funksion i tillë, por për drejtorin vCloud kjo është një risi.
Certifikatat SSL. Certifikatat tani mund të instalohen në NSX Edge. Kjo vjen përsëri në pyetjen se kujt i duhej një balancues pa certifikatë për https.
Grupimi i objekteve. Në këtë skedë, specifikohen grupe objektesh për të cilat do të zbatohen rregulla të caktuara të ndërveprimit të rrjetit, për shembull, rregullat e murit të zjarrit.
Këto objekte mund të jenë adresa IP dhe MAC.
Ekziston gjithashtu një listë shërbimesh (kombinimi protokoll-port) dhe aplikacione që mund të përdoren gjatë krijimit të rregullave të murit të zjarrit. Vetëm administratori i portalit vCD mund të shtojë shërbime dhe aplikacione të reja.
Statistikat. Statistikat e lidhjes: trafiku që kalon përmes portës, murit të zjarrit dhe balancuesit.
Statusi dhe statistikat për çdo tunel IPSEC VPN dhe L2 VPN.
Prerjet. Në skedën Cilësimet e skajit, mund të vendosni serverin për regjistrimin e regjistrave. Regjistrimi funksionon për DNAT/SNAT, DHCP, Firewall, ruting, balancues, IPsec VPN, SSL VPN Plus.
Llojet e mëposhtme të sinjalizimeve janë të disponueshme për çdo objekt/shërbim:
- Korrigjimi
-Alarmi
- Kritike
- Gabim
— Paralajmërim
- Njoftim
- Informacion
Dimensionet e skajit NSX
Në varësi të detyrave që zgjidhen dhe vëllimit të VMware
NSX Edge
(kompakt)
NSX Edge
(E madhe)
NSX Edge
(Katër i madh)
NSX Edge
(X-Large)
vCPU
1
2
4
6
kujtim
512MB
1GB
1GB
8GB
Disk
512MB
512MB
512MB
4.5GB + 4GB
Takim
Një
aplikim, test
Qendra e të dhënave
i vogël
ose mesatare
Qendra e të dhënave
I ngarkuar
muri i zjarrit
balancimi
ngarkesat në nivelin L7
Më poshtë në tabelë janë matjet e funksionimit të shërbimeve të rrjetit në varësi të madhësisë së NSX Edge.
NSX Edge
(kompakt)
NSX Edge
(E madhe)
NSX Edge
(Katër i madh)
NSX Edge
(X-Large)
Interfaces
10
10
10
10
Nënndërfaqet (Trunk)
200
200
200
200
Rregullat e NAT
2,048
4,096
4,096
8,192
Regjistrimet ARP
Deri në Mbishkrim
1,024
2,048
2,048
2,048
Rregullat e FW
2000
2000
2000
2000
Performanca e FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Pishinat DHCP
20,000
20,000
20,000
20,000
Shtigjet e ECMP
8
8
8
8
Rrugët statike
2,048
2,048
2,048
2,048
LB Pools
64
64
64
1,024
Serverët virtualë LB
64
64
64
1,024
Serveri/Pool LB
32
32
32
32
Kontrollet shëndetësore të LB
320
320
320
3,072
Rregullat e Aplikimit LB
4,096
4,096
4,096
4,096
Qendra e klientëve L2VPN për të folur
5
5
5
5
Rrjetet L2VPN për Klient/Server
200
200
200
200
Tunelet IPSec
512
1,600
4,096
6,000
Tunelet SSLVPN
50
100
100
1,000
Rrjetet private SSLVPN
16
16
16
16
Seancat e njëkohshme
64,000
1,000,000
1,000,000
1,000,000
Sesionet/E dyta
8,000
50,000
50,000
50,000
Përfaqësuesi LB i përçueshmërisë L7)
2.2Gbps
2.2Gbps
3Gbps
Modaliteti L4 i përçueshmërisë LB)
6Gbps
6Gbps
6Gbps
Lidhjet/lidhjet LB (L7 Proxy)
46,000
50,000
50,000
Lidhjet e njëkohshme LB (L7 përfaqësues)
8,000
60,000
60,000
Lidhjet/lidhjet LB (Modaliteti L4)
50,000
50,000
50,000
Lidhjet e njëkohshme LB (Modaliteti L4)
600,000
1,000,000
1,000,000
Rrugët BGP
20,000
50,000
250,000
250,000
BGP Fqinjët
10
20
100
100
Rrugët BGP u rishpërndanë
Pa kufi
Pa kufi
Pa kufi
Pa kufi
Rrugët e OSPF
20,000
50,000
100,000
100,000
Regjistrimet e OSPF LSA Max 750 Lloji-1
20,000
50,000
100,000
100,000
Fqinjësi OSPF
10
20
40
40
Rrugët OSPF u rishpërndanë
2000
5000
20,000
20,000
Totali i itinerareve
20,000
50,000
250,000
250,000
→
Tabela tregon se rekomandohet organizimi i balancimit në NSX Edge për skenarë produktivë vetëm duke filluar nga madhësia e madhe.
Kjo është gjithçka që kam për sot. Në pjesët e mëposhtme do të shqyrtoj në detaje se si të konfiguroni çdo shërbim të rrjetit NSX Edge.
Burimi: www.habr.com