Якщо подивитися конфіг будь-якого файрвола, то, швидше за все, ми побачимо простирадло з купою IP-адрес, портів, протоколів та підмереж. Так класично реалізуються політики мережевої безпеки для доступу користувачів до ресурсів. Спочатку в конфізі намагаються підтримувати порядок, але потім співробітники починають переходити з відділу до відділу, сервера розмножуватися та змінювати свої ролі, з'являються доступи для різних проектів туди, куди їм зазвичай не можна, і виходять сотні невідомих козячих стежок.
Біля якихось правил, якщо пощастить, прописані коментарі «Попросив зробити Вася» або «Це прохід у DMZ». Мережевий адміністратор звільняється і все стає зовсім незрозуміло. Потім хтось вирішив почистити конфіг від Васі, і впав SAP, тому що Вася колись просив цей доступ для роботи бойового SAP.
Сьогодні я розповім про рішення VMware NSX, яке допомагає точково застосовувати політики мережевої взаємодії та безпеки без плутанини в конфігах файрвола. Покажу, які нові функції з'явилися в порівнянні з тим, що було раніше у VMware в цій частині.
VMWare NSX – платформа віртуалізації та забезпечення безпеки мережевих сервісів. NSX вирішує завдання маршрутизації, комутації, балансування навантаження, файрвола та вміє багато іншого цікавого.
NSX – це наступник власного продукту VMware vCloud Networking and Security (vCNS) та придбаного Nicira NVP.
Від vCNS до NSX
Раніше клієнт у хмарі, побудованому на VMware vCloud, мав окрему віртуальну машину vCNS vShield Edge. Він виконував роль прикордонного шлюзу, де можна було налаштувати безліч мережевих функцій: NAT, DHCP, Firewall, VPN, балансувальника навантаження та ін. Всередині мережі віртуальні машини спілкувалися між собою вільно у межах підмереж. Якщо дуже хочеться розділяти і панувати трафіком, можна зробити окрему мережу для окремих частин додатків (різних віртуальних машин) і прописати у файрволі відповідні правила щодо їхньої мережевої взаємодії. Але це довго, складно та нецікаво, особливо коли у вас кілька десятків віртуальних машин.
NSX VMware реалізувала концепцію мікросегментації за допомогою розподіленого файрвола (distributed firewall), вбудованого в ядро гіпервізора. У ньому прописуються політики безпеки та мережевої взаємодії не тільки для IP- та MAC-адрес, а й для інших об'єктів: віртуальних машин, додатків. Якщо NSX розгорнуто всередині організації, то такими об'єктами можуть стати користувач або група користувачів Active Directory. Кожен такий об'єкт перетворюється на мікросегмент у своєму контурі безпеки, у потрібній підмережі, зі своєю затишною DMZ :).
Раніше периметр безпеки був один на весь пул ресурсів, захищався прикордонним комутатором, а з NSX можна захистити від зайвих взаємодій окрему віртуальну машину навіть у межах однієї мережі.
Політики безпеки та мережевої взаємодії адаптуються, якщо об'єкт переїжджає до іншої мережі. Наприклад, якщо ми перенесемо машину з базою даних в інший мережевий сегмент або навіть в інший пов'язаний віртуальний дата-центр, правила, прописані для цієї віртуальної машини, продовжать діяти безвідносно її нового положення. Сервер додатків, як і раніше, зможе взаємодіяти з базою даних.
На зміну прикордонному шлюзу vCNS vShield Edge прийшов NSX Edge. Він має весь джентльменський набір старого Edge плюс кілька нових корисних функцій. Про них і йтиметься далі.
Що нового у NSX Edge?
Функціональність NSX Edge залежить від
Брандмауер. Як об'єкти, до яких будуть застосовуватися правила, можна вибрати IP-адреси, мережі, інтерфейси шлюзу та віртуальні машини.
DHCP. Крім налаштування діапазону IP-адрес, які автоматично видаватимуться віртуальним машинам цієї мережі, в NSX Edge стали доступні функції Обов'язковий и Реле.
У вкладці палітурки можна прив'язати MAC-адресу віртуальної машини до IP-адреси, якщо потрібно, щоб IP-адреса не змінювалася. Головне, щоб ця IP-адреса не входила до DHCP Pool.
У вкладці Реле налаштовується ретрансляція DHCP-повідомлень DHCP-серверам, які знаходяться за межами вашої організації в vCloud Director, у тому числі і DHCP-серверам фізичної інфраструктури.
Маршрутизація. У vShield Edge можна було налаштовувати лише статичну маршрутизацію. Тут з'явилася динамічна маршрутизація з підтримкою протоколів OSPF та BGP. Також стали доступні налаштування ECMP (Active-active), а отже, і аварійне перемикання типу «активний-активний» на фізичні маршрутизатори.
Налаштування OSPF
Налаштування BGP
Ще з нового – налаштування передачі маршрутів між різними протоколами,
перерозподіл маршрутів (route redistribution).
L4/L7 Балансувальник навантаження. З'явився X-Forwarded-For для заголовка HTTP. Без нього всі плакали. Наприклад, у вас є сайт, який ви балансуєте. Без прокидання цього заголовка все працює, але у статистиці веб-сервера ви бачили не IP відвідувачів, а IP балансувальника. Тепер усе стало вірно.
Також у вкладці Application Rules тепер можна додавати скрипти, які безпосередньо управлятимуть балансуванням трафіку.
vpn. На додаток до IPSec VPN, NSX Edge підтримує:
- L2 VPN дозволяє розтягнути мережі між географічно рознесеними майданчиками. Такий VPN потрібен, наприклад, щоб при переїзді на інший майданчик віртуальна машина залишалася в тій же підмережі та зберігала IP-адресу.
- SSL VPN Plus, який дозволяє користувачам підключатися віддалено до корпоративної мережі. На рівні vSphere така функція була, а для vCloud Director це нововведення.
SSL-сертифікати. На NSX Edge тепер можна встановити сертифікати. Це знову до питання, кому був потрібен балансувальник без сертифікату для https.
Групи об'єктів (Grouping Objects). У цій вкладці задаються групи об'єктів, для яких діятимуть ті чи інші правила мережевої взаємодії, наприклад правила файрвола.
Цими об'єктами можуть бути IP- та MAC-адреси.
Тут також вказано список сервісів (поєднання протокол-порт) та додатків, які можна використовувати при складанні правил файрволу. Нові сервіси та програми додавати може лише адміністратор порталу vCD.
Статистика. Статистика підключення: трафік, який проходить через шлюз, файрвол та балансувальник.
Статус та статистику по кожному тунелю IPSEC VPN та L2 VPN.
Логування. У вкладці Edge Settings можна встановити сервер для запису логів. Логування працює для DNAT/SNAT, DHCP, Firewall, маршрутизації, балансувальника, IPsec VPN, SSL VPN Plus.
Для кожного об'єкта/сервісу доступні такі типи оповіщень:
- Debug
- Alert
- Critical
- Error
- Warning
- Notice
— Інформація
Розміри NSX Edge
Залежно від розв'язуваних завдань та обсягів VMware
NSX Edge
(Compact)
NSX Edge
(Великий)
NSX Edge
(Quad-Large)
NSX Edge
(X-Large)
vCPU
1
2
4
6
пам'ять
512MB
1GB
1GB
8GB
Диск
512MB
512MB
512MB
4.5GB + 4GB
Призначення
одне
додаток, тестовий
дата центр
Невеликий
або середній
дата центр
Навантажений
файрвол
балансування
навантаження на рівні L7
Нижче в таблиці робочі метрики мережевих служб залежно від розміру NSX Edge.
NSX Edge
(Compact)
NSX Edge
(Великий)
NSX Edge
(Quad-Large)
NSX Edge
(X-Large)
інтерфейси
10
10
10
10
Sub Interfaces (Trunk)
200
200
200
200
Правила NAT
2,048
4,096
4,096
8,192
Записи ARP
Until Overwrite
1,024
2,048
2,048
2,048
FW Rules
2000
2000
2000
2000
FW Performance
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP Pools
20,000
20,000
20,000
20,000
ECMP Paths
8
8
8
8
Статичні маршрути
2,048
2,048
2,048
2,048
LB Pools
64
64
64
1,024
LB Virtual Servers
64
64
64
1,024
LB Server / Pool
32
32
32
32
LB Health Checks
320
320
320
3,072
LB Application Rules
4,096
4,096
4,096
4,096
L2VPN Clients Hub to Spoke
5
5
5
5
L2VPN Networks per Client/Server
200
200
200
200
Тунелі IPSec
512
1,600
4,096
6,000
SSLVPN Tunnels
50
100
100
1,000
SSLVPN Private Networks
16
16
16
16
Паралельні сесії
64,000
1,000,000
1,000,000
1,000,000
Sessions/Second
8,000
50,000
50,000
50,000
LB Throughput L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB Throughput L4 Mode)
6Gbps
6Gbps
6Gbps
LB Connections/s (L7 Proxy)
46,000
50,000
50,000
LB Concurrent Connections (L7 Proxy)
8,000
60,000
60,000
LB Connections/s (L4 Mode)
50,000
50,000
50,000
LB Concurrent Connections (L4 Mode)
600,000
1,000,000
1,000,000
BGP Routes
20,000
50,000
250,000
250,000
BGP Neighbors
10
20
100
100
BGP Routes Redistributed
Немає обмежень
Немає обмежень
Немає обмежень
Немає обмежень
OSPF Routes
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF Adjacencies
10
20
40
40
OSPF Routes Redistributed
2000
5000
20,000
20,000
Total Routes
20,000
50,000
250,000
250,000
→
З таблиці видно, що балансування на NSX Edge для продуктивних сценаріїв рекомендується організовувати лише починаючи з розміру Large.
Сьогодні у мене все. У наступних частинах детально пройдуся з налаштування кожної мережі NSX Edge.
Джерело: habr.com