Upami anjeun ningali konfigurasi firewall naon waé, maka paling dipikaresep urang bakal ningali lambaran kalayan sakumpulan alamat IP, palabuhan, protokol sareng subnet. Ieu kumaha kawijakan kaamanan jaringan sacara klasik dilaksanakeun pikeun aksés pangguna kana sumber daya. Dina awalna, aranjeunna nyobian ngajaga urutan di config, tapi lajeng karyawan ngawitan mindahkeun tina departemén ka departemén, server kalikeun sarta ngarobah kalungguhan maranéhna, aksés pikeun proyék-proyék béda némbongan dimana aranjeunna biasana teu bisa, sarta ratusan trails embe kanyahoan dicandak.
Deukeut sababaraha aturan, upami anjeun untung, koméntar "Kuring naroskeun ka Vasya pikeun ngalakukeunana" atanapi "Ieu petikan ka DMZ" ditulis. Administrator jaringan kaluar, sareng sadayana janten teu kaharti. Teras batur mutuskeun pikeun ngabersihan konfigurasi Vasya, sareng SAP nabrak, sabab Vasya sakali naroskeun aksés ieu pikeun damel sareng SAP tempur.
Dinten ieu kuring bakal ngobrol ngeunaan solusi VMware NSX, nu mantuan titik-ka-titik nerapkeun komunikasi jaringan jeung kawijakan kaamanan tanpa kabingungan dina konfigurasi firewall. Kuring bakal nunjukkeun ka anjeun fitur-fitur anyar naon anu muncul dibandingkeun sareng naon anu dianggo VMware dina bagian ieu.
VMWare NSX mangrupikeun platform kaamanan virtualisasi sareng jasa jaringan. NSX solves masalah routing, switching, load balancing, firewall sarta loba hal metot séjén.
NSX nyaéta panerusna produk vCloud Networking and Security (vCNS) VMware sorangan sareng diaku ku Nicira NVP.
Ti vCNS ka NSX
Saméméhna, palanggan dina awan anu diwangun dina VMware vCloud ngagaduhan mesin virtual vCNS vShield Edge anu misah. Ieu acted salaku gateway ujung, dimana anjeun bisa ngonpigurasikeun loba fungsi jaringan: NAT, DHCP, Firewall, VPN, load balancer, jsb vShield Tepi ngawatesan interaksi mesin virtual jeung dunya luar nurutkeun aturan dieusian dina firewall jeung NAT. Di jero jaringan, mesin virtual komunikasi sacara bébas antara dirina dina subnet. Upami anjeun leres-leres hoyong ngabagi sareng ngadominasi lalu lintas, anjeun tiasa ngadamel jaringan anu misah pikeun bagian individu tina aplikasi (mesin virtual anu béda) sareng resep aturan anu pas pikeun interaksi jaringanna dina firewall. Tapi ieu panjang, pajeulit jeung uninteresting, utamana lamun anjeun boga sababaraha belasan mesin virtual.
Dina NSX, VMware ngalaksanakeun konsép micro-segmentation ngagunakeun firewall anu disebarkeun dina inti hypervisor. Ieu prescribes kawijakan kaamanan sarta interaksi jaringan henteu ngan pikeun alamat IP na MAC, tapi ogé pikeun objék séjén: mesin virtual, aplikasi. Upami NSX disebarkeun dina organisasi, maka pangguna atanapi grup pangguna tina Active Directory tiasa janten objék sapertos kitu. Unggal obyék sapertos janten microsegment dina loop kaamanan sorangan, dina subnet katuhu, kalawan DMZ cozy sorangan :).
Saméméhna, aya ngan hiji perimeter kaamanan pikeun sakabéh kolam renang sumberdaya, ieu ditangtayungan ku switch ujung, tur kalawan NSX, anjeun tiasa ngajaga mesin virtual misah ti interaksi perlu malah dina jaringan nu sami.
Kabijakan kaamanan sareng jaringan adaptasi upami hiji obyék pindah ka jaringan anu béda. Contona, upami urang mindahkeun mesin jeung database ka bagéan jaringan séjén atawa malah ka puseur data maya pakait sejen, aturan prescribed pikeun mesin virtual ieu bakal neruskeun beroperasi paduli lokasi anyar na. Pangladén aplikasi tetep tiasa komunikasi sareng pangkalan data.
vCNS vShield Edge sorangan geus diganti ku NSX Edge. Cai mibanda sagala barang gentlemen ngeunaan Tepi heubeul ditambah sababaraha fitur anyar cool. Ngeunaan aranjeunna sarta bakal dibahas salajengna.
Naon anu anyar sareng NSX Edge?
fungsionalitas NSX Tepi gumantung kana NSX. Aya lima diantarana: Standar, Profesional, Canggih, Perusahaan, Ditambah Kantor Cabang Jauh. Sagalana anyar jeung metot ngan bisa ditempo dimimitian ku Advanced. Kaasup antarbeungeut anyar, anu muka dina tab anyar dugi ka transisi lengkep vCloud ka HTML5 (VMware ngajangjikeun usum panas 2019).
firewall. Anjeun tiasa milih alamat IP, jaringan, antarmuka gateway, sareng mesin virtual salaku objék anu bakal diterapkeun ku aturan.
DHCP. Salian ngonpigurasikeun kisaran alamat IP anu bakal otomatis dikaluarkeun ka mesin virtual dina jaringan ieu, NSX Edge parantos janten fungsi anu sayogi. beungkeutan и relay.
Dina tab Binding anjeun tiasa ngabeungkeut alamat MAC tina mesin virtual ka alamat IP upami anjeun hoyong alamat IP henteu robih. Hal utama nyaéta alamat IP ieu henteu kalebet dina DHCP Pool.
Dina tab relay ngonpigurasikeun relaying pesen DHCP ka server DHCP nu aya di luar organisasi anjeun dina vCloud Diréktur, kaasup server DHCP tina infrastruktur fisik.
Routing. vShield Tepi ngan bisa ngonpigurasi kalawan routing statik. Dinamis routing mucunghul di dieu kalayan rojongan pikeun OSPF na BGP protokol. Setélan ECMP (Aktip-aktip) ogé parantos sayogi, anu hartosna failover aktip-aktif kana router fisik.
Ngonpigurasikeun OSPF
Ngonpigurasikeun BGP
Hal anyar anu sanés nyaéta nyetél transfer rute antara protokol anu béda,
redistribusi jalur.
L4 / L7 Beban balancer. Ngawanohkeun X-Diteruskeun-Kanggo pikeun lulugu HTTPs. Tanpa anjeunna, sadayana nangis. Salaku conto, anjeun gaduh halaman wéb anu anjeun saimbang. Tanpa diteruskeun lulugu ieu, sagalana jalan, tapi dina statistik tina web server anjeun teu nempo IP nu datang, tapi IP balancer nu. Ayeuna sadayana leres.
Ogé dina tab Aturan Aplikasi, anjeun ayeuna tiasa nambihan skrip anu bakal langsung ngontrol kasaimbangan lalu lintas.
vpn. Salian IPSec VPN, NSX Edge ngadukung:
- L2 VPN, nu ngidinan Anjeun pikeun manteng jaringan antara situs dispersed géografis. VPN sapertos kitu diperyogikeun, contona, supados nalika ngalih ka situs sanés, mesin virtual tetep dina subnet anu sami sareng nahan alamat IP na.
- SSL VPN Plus, anu ngamungkinkeun pamaké pikeun nyambung jarak jauh ka jaringan perusahaan. Aya fungsi sapertos di tingkat vSphere, tapi pikeun vCloud Diréktur ieu mangrupa inovasi.
sertipikat SSL. Sertipikat ayeuna tiasa dipasang dina NSX Edge. Ieu deui sual anu diperlukeun hiji balancer tanpa sertipikat pikeun HTTPS.
Ngagolongkeun Objék. Tab ieu ngan ukur nyetél grup objék anu aturan interaksi jaringan tangtu bakal diterapkeun, contona, aturan firewall.
Objék ieu tiasa janten alamat IP sareng MAC.
Éta ogé ngandung daptar jasa (kombinasi protokol-port) sareng aplikasi anu tiasa dianggo nalika nyusun aturan firewall. Ngan administrator portal vCD anu tiasa nambihan ladenan sareng aplikasi anyar.
Statistik. Statistik sambungan: lalu lintas anu ngalangkungan gateway, firewall sareng load balancer.
Status sareng statistik pikeun tiap torowongan IPSEC VPN sareng L2 VPN.
logging. Dina tab Setélan Tepi, anjeun tiasa nyetél pangladén pikeun ngarékam log. Logging dianggo pikeun DNAT / SNAT, DHCP, Firewall, Routing, Balancer, IPsec VPN, SSL VPN Ditambah.
Jenis panggeuing di handap ieu sayogi pikeun unggal obyék/jasa:
- debug
— Waspada
- Kritis
- kasalahan
—Awas
— Bewara
- inpormasi
NSX Tepi Diménsi
Gumantung kana tugas anu bakal direngsekeun sareng volume VMware jieun NSX Edge dina ukuran ieu:
NSX Tepi
(Kompak)
NSX Tepi
(Gede)
NSX Tepi
(quad-ageung)
NSX Tepi
(X-Gedé)
vCPU
1
2
4
6
ingetan
512MB
1GB
1GB
8GB
cakram
512MB
512MB
512MB
4.5GB + 4GB
panunjukeun
Hiji
aplikasi, uji
puseur data
leutik
atawa sedeng
puseur data
Dimuat
firewall
Ngimbangan
beban dina tingkat L7
Tabél di handap ieu nunjukkeun métrik kinerja jasa jaringan dumasar kana ukuran NSX Edge.
NSX Tepi
(Kompak)
NSX Tepi
(Gede)
NSX Tepi
(quad-ageung)
NSX Tepi
(X-Gedé)
interfaces
10
10
10
10
Sub Interfaces (Batang)
200
200
200
200
Aturan Nat
2,048
4,096
4,096
8,192
Éntri ARP
nepi ka nimpa
1,024
2,048
2,048
2,048
Aturan FW
2000
2000
2000
2000
Prestasi F.W
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP Pools
20,000
20,000
20,000
20,000
Jalur ECMP
8
8
8
8
Rute Statis
2,048
2,048
2,048
2,048
LB pools
64
64
64
1,024
Server Virtual LB
64
64
64
1,024
LB Server / kolam renang
32
32
32
32
Cék Kaséhatan LB
320
320
320
3,072
Aturan Aplikasi LB
4,096
4,096
4,096
4,096
Hub Klién L2VPN pikeun nyarios
5
5
5
5
Jaringan L2VPN per Klién / Server
200
200
200
200
Torowongan IPSec
512
1,600
4,096
6,000
SSL VPN Torowongan
50
100
100
1,000
SSLVPN Jaringan Pribadi
16
16
16
16
Sidang babarengan
64,000
1,000,000
1,000,000
1,000,000
Sesi / Kadua
8,000
50,000
50,000
50,000
LB Throughput L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB Throughput L4 Mode)
6Gbps
6Gbps
6Gbps
LB Sambungan/s (L7 Proxy)
46,000
50,000
50,000
Sambungan Sareng LB (L7 Proxy)
8,000
60,000
60,000
Sambungan LB/s (Modeu L4)
50,000
50,000
50,000
Sambungan Sareng LB (Modeu L4)
600,000
1,000,000
1,000,000
BGP Rute
20,000
50,000
250,000
250,000
BGP tatangga
10
20
100
100
BGP Rute Redistributed
Taya Wates
Taya Wates
Taya Wates
Taya Wates
Jalur OSPF
20,000
50,000
100,000
100,000
OSPF LSA Éntri Max 750 Tipe-1
20,000
50,000
100,000
100,000
OSPF Adjacencies
10
20
40
40
OSPF Rute Redistributed
2000
5000
20,000
20,000
Total Rute
20,000
50,000
250,000
250,000
→
tabél nembongkeun yen eta disarankeun pikeun ngatur balancing on NSX Tepi pikeun skenario produktif ukur mimitian ti ukuranana badag.
Pikeun dinten ieu abdi gaduh sagalana. Dina bagian di handap ieu, kuring bakal ngaliwat konfigurasi unggal layanan jaringan NSX Edge sacara rinci.
sumber: www.habr.com