Kung titingnan mo ang config ng anumang firewall, malamang na makakakita tayo ng isang sheet na may isang bungkos ng mga IP address, port, protocol at subnet. Ito ay kung paano ipinapatupad ang mga patakaran sa seguridad ng network para sa pag-access ng user sa mga mapagkukunan. Sa una ay sinusubukan nilang mapanatili ang kaayusan sa config, ngunit pagkatapos ay ang mga empleyado ay nagsimulang lumipat mula sa departamento patungo sa departamento, ang mga server ay dumami at nagbabago ng kanilang mga tungkulin, ang pag-access para sa iba't ibang mga proyekto ay lilitaw kung saan sila ay karaniwang hindi pinapayagan, at daan-daang hindi kilalang mga landas ng kambing ang lumitaw.
Sa tabi ng ilang panuntunan, kung swerte ka, may mga komentong "Hiniling sa akin ni Vasya na gawin ito" o "Ito ay isang daanan sa DMZ." Ang administrator ng network ay huminto, at ang lahat ay nagiging ganap na hindi malinaw. Pagkatapos ay may nagpasya na i-clear ang config ni Vasya, at nag-crash ang SAP, dahil minsan ay hiniling ni Vasya ang access na ito upang patakbuhin ang labanan SAP.
Ngayon ay pag-uusapan ko ang tungkol sa solusyon ng VMware NSX, na tumutulong upang tumpak na mailapat ang komunikasyon sa network at mga patakaran sa seguridad nang walang pagkalito sa mga config ng firewall. Ipapakita ko sa iyo kung anong mga bagong feature ang lumitaw kumpara sa kung ano ang mayroon ang VMware dati sa bahaging ito.
Ang VMWare NSX ay isang virtualization at platform ng seguridad para sa mga serbisyo ng network. Nilulutas ng NSX ang mga problema ng pagruruta, paglipat, pagbabalanse ng pag-load, firewall at maaaring gumawa ng maraming iba pang mga kawili-wiling bagay.
Ang NSX ay ang kahalili sa sariling vCloud Networking and Security (vCNS) na produkto ng VMware at ang nakuhang Nicira NVP.
Mula vCNS hanggang NSX
Dati, ang isang kliyente ay may hiwalay na vCNS vShield Edge virtual machine sa isang cloud na binuo sa VMware vCloud. Ito ay kumilos bilang isang gateway sa hangganan, kung saan posible na i-configure ang maraming mga function ng network: NAT, DHCP, Firewall, VPN, load balancer, atbp. Nilimitahan ng vShield Edge ang pakikipag-ugnayan ng virtual machine sa labas ng mundo ayon sa mga panuntunang tinukoy sa Firewall at NAT. Sa loob ng network, malayang nakikipag-ugnayan ang mga virtual machine sa isa't isa sa loob ng mga subnet. Kung gusto mo talagang hatiin at lupigin ang trapiko, maaari kang gumawa ng hiwalay na network para sa mga indibidwal na bahagi ng mga application (iba't ibang virtual machine) at itakda ang naaangkop na mga panuntunan para sa kanilang pakikipag-ugnayan sa network sa firewall. Ngunit ito ay mahaba, mahirap at hindi kawili-wili, lalo na kapag mayroon kang ilang dosenang virtual machine.
Sa NSX, ipinatupad ng VMware ang konsepto ng micro-segmentation gamit ang isang distributed firewall na binuo sa kernel ng hypervisor. Tinutukoy nito ang mga patakaran sa seguridad at pakikipag-ugnayan sa network hindi lamang para sa mga IP at MAC address, kundi pati na rin para sa iba pang mga bagay: mga virtual machine, mga application. Kung naka-deploy ang NSX sa loob ng isang organisasyon, ang mga bagay na ito ay maaaring isang user o grupo ng mga user mula sa Active Directory. Ang bawat naturang bagay ay nagiging isang microsegment sa sarili nitong security loop, sa kinakailangang subnet, na may sarili nitong maginhawang DMZ :).
Dati, mayroon lamang isang security perimeter para sa buong pool ng mga mapagkukunan, na protektado ng isang edge switch, ngunit sa NSX maaari mong protektahan ang isang hiwalay na virtual machine mula sa mga hindi kinakailangang pakikipag-ugnayan, kahit na sa loob ng parehong network.
Ang mga patakaran sa seguridad at networking ay umaangkop kung ang isang entity ay lumipat sa ibang network. Halimbawa, kung ililipat natin ang isang machine na may database sa isa pang segment ng network o kahit sa isa pang konektadong virtual data center, ang mga panuntunang nakasulat para sa virtual machine na ito ay patuloy na ilalapat anuman ang bagong lokasyon nito. Magagawa pa rin ng application server na makipag-ugnayan sa database.
Ang edge gateway mismo, vCNS vShield Edge, ay pinalitan ng NSX Edge. Mayroon itong lahat ng mga maginoong feature ng lumang Edge, kasama ang ilang bagong kapaki-pakinabang na feature. Pag-uusapan pa natin sila.
Ano ang bago sa NSX Edge?
Ang pag-andar ng NSX Edge ay nakasalalay sa
firewall. Maaari kang pumili ng mga IP address, network, gateway interface, at virtual machine bilang mga bagay kung saan ilalapat ang mga panuntunan.
DHCP. Bilang karagdagan sa pag-configure ng hanay ng mga IP address na awtomatikong ibibigay sa mga virtual machine sa network na ito, ang NSX Edge ay mayroon na ngayong mga sumusunod na function: Umiiral ΠΈ Relay.
Sa tab Mga binding Maaari mong itali ang MAC address ng isang virtual machine sa isang IP address kung kailangan mo ang IP address na huwag magbago. Ang pangunahing bagay ay ang IP address na ito ay hindi kasama sa DHCP Pool.
Sa tab Relay Ang relay ng mga mensahe ng DHCP ay na-configure sa mga DHCP server na matatagpuan sa labas ng iyong organisasyon sa vCloud Director, kabilang ang mga DHCP server ng pisikal na imprastraktura.
Pagruruta. Ang vShield Edge ay maaari lamang i-configure ang static na pagruruta. Lumitaw dito ang dinamikong pagruruta na may suporta para sa mga protocol ng OSPF at BGP. Naging available na rin ang mga setting ng ECMP (Active-active), na nangangahulugang active-active failover sa mga pisikal na router.
Pag-set up ng OSPF
Pagse-set up ng BGP
Ang isa pang bagong bagay ay ang pagse-set up ng paglipat ng mga ruta sa pagitan ng iba't ibang mga protocol,
muling pamamahagi ng ruta.
L4/L7 Load Balancer. Ipinakilala ang X-Forwarded-For para sa header ng HTTPs. Umiyak ang lahat nang wala siya. Halimbawa, mayroon kang isang website na iyong binabalanse. Nang walang pagpapasa ng header na ito, gumagana ang lahat, ngunit sa mga istatistika ng web server hindi mo nakita ang IP ng mga bisita, ngunit ang IP ng balancer. Ngayon lahat ay tama.
Gayundin sa tab na Mga Panuntunan ng Application maaari ka na ngayong magdagdag ng mga script na direktang magkokontrol sa pagbabalanse ng trapiko.
vpn. Bilang karagdagan sa IPSec VPN, sinusuportahan ng NSX Edge ang:
- L2 VPN, na nagpapahintulot sa iyo na mag-stretch ng mga network sa pagitan ng mga site na nakakalat sa heograpiya. Ang ganitong VPN ay kailangan, halimbawa, upang kapag lumipat sa ibang site, ang virtual machine ay nananatili sa parehong subnet at pinapanatili ang IP address nito.
- SSL VPN Plus, na nagpapahintulot sa mga user na kumonekta nang malayuan sa isang corporate network. Sa antas ng vSphere mayroong ganoong function, ngunit para sa vCloud Director ito ay isang pagbabago.
Mga SSL certificate. Maaari na ngayong i-install ang mga sertipiko sa NSX Edge. Ito ay muling dumating sa tanong kung sino ang nangangailangan ng isang balancer na walang sertipiko para sa https.
Pagpapangkat ng mga Bagay. Sa tab na ito, tinukoy ang mga pangkat ng mga bagay kung saan ilalapat ang ilang partikular na panuntunan sa pakikipag-ugnayan sa network, halimbawa, mga panuntunan sa firewall.
Ang mga bagay na ito ay maaaring mga IP at MAC address.
Mayroon ding listahan ng mga serbisyo (kombinasyon ng protocol-port) at mga application na maaaring magamit kapag lumilikha ng mga panuntunan sa firewall. Tanging ang vCD portal administrator ang makakapagdagdag ng mga bagong serbisyo at application.
Mga istatistika. Mga istatistika ng koneksyon: trapiko na dumadaan sa gateway, firewall at balancer.
Katayuan at istatistika para sa bawat IPSEC VPN at L2 VPN tunnel.
Pagtotroso. Sa tab na Mga Setting ng Edge, maaari mong itakda ang server para sa pag-record ng mga log. Gumagana ang pag-log para sa DNAT/SNAT, DHCP, Firewall, routing, balancer, IPsec VPN, SSL VPN Plus.
Ang mga sumusunod na uri ng mga alerto ay magagamit para sa bawat bagay/serbisyo:
βPag-debug
βAlerto
-Mapanganib
- Error
βBabala
β Pansinin
β Impormasyon
Mga Dimensyon ng NSX Edge
Depende sa mga gawaing nireresolba at sa dami ng VMware
NSX Edge
(Compact)
NSX Edge
(Malaki)
NSX Edge
(Quad-Large)
NSX Edge
(X-Malaki)
vCPU
1
2
4
6
Memorya
512MB
1GB
1GB
8GB
Disko
512MB
512MB
512MB
4.5GB + 4GB
Appointment
Isa
aplikasyon, pagsubok
sentro ng datos
Maliit
o karaniwan
sentro ng datos
Puno
firewall
Pagbabalanse
naglo-load sa antas L7
Nasa ibaba sa talahanayan ang mga sukatan ng pagpapatakbo ng mga serbisyo ng network depende sa laki ng NSX Edge.
NSX Edge
(Compact)
NSX Edge
(Malaki)
NSX Edge
(Quad-Large)
NSX Edge
(X-Malaki)
interface
10
10
10
10
Mga Sub Interface (Trunk)
200
200
200
200
Mga Panuntunan sa NAT
2,048
4,096
4,096
8,192
Mga Entri ng ARP
Hanggang Overwrite
1,024
2,048
2,048
2,048
Mga Panuntunan ng FW
2000
2000
2000
2000
Pagganap ng FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Mga Pool ng DHCP
20,000
20,000
20,000
20,000
Mga Landas ng ECMP
8
8
8
8
Mga Static na Ruta
2,048
2,048
2,048
2,048
Mga Pool ng LB
64
64
64
1,024
Mga LB Virtual Server
64
64
64
1,024
LB Server/Pool
32
32
32
32
LB Health Checks
320
320
320
3,072
Mga Panuntunan sa Aplikasyon ng LB
4,096
4,096
4,096
4,096
L2VPN Client Hub na Magsalita
5
5
5
5
Mga Network ng L2VPN bawat Kliyente/Server
200
200
200
200
Mga Tunnel ng IPSec
512
1,600
4,096
6,000
Mga Tunnel ng SSLVPN
50
100
100
1,000
Mga Pribadong Network ng SSLVPN
16
16
16
16
Mga Kasabay na Session
64,000
1,000,000
1,000,000
1,000,000
Mga Sesyon/Ikalawang
8,000
50,000
50,000
50,000
LB Throughput L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB Throughput L4 Mode)
6Gbps
6Gbps
6Gbps
Mga Koneksyon sa LB (L7 Proxy)
46,000
50,000
50,000
Mga Kasabay na Koneksyon ng LB (L7 Proxy)
8,000
60,000
60,000
LB Connections/s (L4 Mode)
50,000
50,000
50,000
Mga Kasabay na Koneksyon ng LB (L4 Mode)
600,000
1,000,000
1,000,000
Mga Ruta ng BGP
20,000
50,000
250,000
250,000
Mga Kapitbahay ng BGP
10
20
100
100
Mga Ruta ng BGP Muling Naipamahagi
Walang Hangganan
Walang Hangganan
Walang Hangganan
Walang Hangganan
Mga Ruta ng OSPF
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Type-1
20,000
50,000
100,000
100,000
Mga Adjacencies ng OSPF
10
20
40
40
Mga Ruta ng OSPF Muling Naipamahagi
2000
5000
20,000
20,000
Kabuuang mga Ruta
20,000
50,000
250,000
250,000
β
Ipinapakita ng talahanayan na inirerekomendang ayusin ang pagbabalanse sa NSX Edge para sa mga produktibong sitwasyon na nagsisimula lamang sa Malaking sukat.
Yun lang ang meron ako ngayong araw. Sa mga sumusunod na bahagi ay tatalakayin ko nang detalyado kung paano i-configure ang bawat serbisyo ng network ng NSX Edge.
Pinagmulan: www.habr.com