Agar siz har qanday xavfsizlik devori konfiguratsiyasiga qarasangiz, ehtimol biz IP-manzillar, portlar, protokollar va quyi tarmoqlar to'plamiga ega varaqni ko'ramiz. Resurslarga foydalanuvchi kirishi uchun tarmoq xavfsizligi siyosati klassik tarzda shunday amalga oshiriladi. Avvaliga ular konfiguratsiyada tartibni saqlashga harakat qilishadi, lekin keyin xodimlar bo'limdan bo'limga o'tishni boshlaydilar, serverlar ko'payadi va o'z rollarini o'zgartiradi, turli loyihalarga kirish odatda ruxsat etilmagan joylarda paydo bo'ladi va yuzlab noma'lum echki yo'llari paydo bo'ladi.
Ba'zi qoidalarning yonida, agar omadingiz bo'lsa, "Vasya mendan buni qilishni so'radi" yoki "Bu DMZga o'tish" degan sharhlar mavjud. Tarmoq ma'muri ishdan ketadi va hamma narsa butunlay noaniq bo'lib qoladi. Keyin kimdir Vasya konfiguratsiyasini tozalashga qaror qildi va SAP halokatga uchradi, chunki Vasya bir marta jangovar SAPni ishlatish uchun ushbu ruxsatni so'radi.
Bugun men VMware NSX yechimi haqida gapiraman, bu tarmoq aloqasi va xavfsizlik siyosatini xavfsizlik devori konfiguratsiyasida chalkashmasdan aniq qo'llashga yordam beradi. Men sizga bu qismda VMware ilgari ega bo'lgan narsalarga nisbatan qanday yangi xususiyatlar paydo bo'lganini ko'rsataman.
VMWare NSX - bu tarmoq xizmatlari uchun virtualizatsiya va xavfsizlik platformasi. NSX marshrutlash, almashtirish, yuklarni muvozanatlash, xavfsizlik devori muammolarini hal qiladi va boshqa ko'plab qiziqarli narsalarni qila oladi.
NSX VMware kompaniyasining vCloud Networking and Security (vCNS) mahsuloti va sotib olingan Nicira NVP ning vorisi hisoblanadi.
vCNS dan NSX ga
Ilgari mijoz VMware vCloud-da o'rnatilgan bulutda alohida vCNS vShield Edge virtual mashinasiga ega edi. U chegara shlyuzi rolini o'ynadi, bu erda ko'plab tarmoq funktsiyalarini sozlash mumkin edi: NAT, DHCP, Xavfsizlik devori, VPN, yuk balansi va boshqalar. vShield Edge virtual mashinaning tashqi dunyo bilan o'zaro ta'sirini Shartnomada ko'rsatilgan qoidalarga muvofiq cheklab qo'ydi. Faervol va NAT. Tarmoq ichida virtual mashinalar pastki tarmoqlar ichida bir-biri bilan erkin muloqot qildilar. Agar siz haqiqatan ham trafikni ajratish va zabt etishni istasangiz, ilovalarning alohida qismlari (turli xil virtual mashinalar) uchun alohida tarmoq yaratishingiz va xavfsizlik devorida ularning tarmoq o'zaro ta'siri uchun tegishli qoidalarni o'rnatishingiz mumkin. Ammo bu uzoq, qiyin va qiziq emas, ayniqsa sizda bir necha o'nlab virtual mashinalaringiz bo'lsa.
NSX-da VMware gipervisor yadrosiga o'rnatilgan taqsimlangan xavfsizlik devori yordamida mikro-segmentatsiya kontseptsiyasini amalga oshirdi. U nafaqat IP va MAC manzillari, balki boshqa ob'ektlar: virtual mashinalar, ilovalar uchun ham xavfsizlik va tarmoq o'zaro ta'siri siyosatlarini belgilaydi. Agar NSX tashkilot ichida o'rnatilgan bo'lsa, bu ob'ektlar Active Directory foydalanuvchisi yoki foydalanuvchilar guruhi bo'lishi mumkin. Har bir bunday ob'ekt o'zining xavfsizlik siklida, kerakli pastki tarmoqda, o'zining qulay DMZ bilan mikrosegmentga aylanadi :).
Ilgari, chekka kommutator bilan himoyalangan resurslarning butun hovuzi uchun faqat bitta xavfsizlik perimetri mavjud edi, ammo NSX bilan alohida virtual mashinani hatto bitta tarmoq ichida ham keraksiz shovqinlardan himoya qilishingiz mumkin.
Agar tashkilot boshqa tarmoqqa o'tsa, xavfsizlik va tarmoq siyosati moslashadi. Misol uchun, agar biz ma'lumotlar bazasiga ega bo'lgan mashinani boshqa tarmoq segmentiga yoki hatto boshqa ulangan virtual ma'lumotlar markaziga ko'chirsak, u holda ushbu virtual mashina uchun yozilgan qoidalar uning yangi joylashuvidan qat'iy nazar amal qilishda davom etadi. Ilova serveri hali ham ma'lumotlar bazasi bilan aloqa qila oladi.
Chegara shlyuzining o'zi, vCNS vShield Edge NSX Edge bilan almashtirildi. Unda eski Edge-ning barcha janob xususiyatlari, shuningdek, bir nechta yangi foydali funksiyalar mavjud. Biz ular haqida batafsilroq gaplashamiz.
NSX Edge bilan nima yangiliklar?
NSX Edge funksiyasi quyidagilarga bog'liq
Xavfsizlik devori. Qoidalar qo'llaniladigan ob'ektlar sifatida siz IP manzillar, tarmoqlar, shlyuz interfeyslari va virtual mashinalarni tanlashingiz mumkin.
DHCP. Ushbu tarmoqdagi virtual mashinalarga avtomatik ravishda beriladigan IP manzillar diapazonini sozlashdan tashqari, NSX Edge endi quyidagi funksiyalarga ega: majburiy ΠΈ O'rnimizni.
Yorliqda Bog'lashlar Agar IP manzilni o'zgartirmaslik kerak bo'lsa, virtual mashinaning MAC manzilini IP-manzilga bog'lashingiz mumkin. Asosiysi, bu IP-manzil DHCP hovuziga kiritilmagan.
Yorliqda O'rnimizni DHCP xabarlarini uzatish vCloud Directorda tashkilotingizdan tashqarida joylashgan DHCP serverlariga, shu jumladan jismoniy infratuzilmaning DHCP serverlariga sozlangan.
Marshrutlash. vShield Edge faqat statik marshrutlashni sozlashi mumkin edi. Bu erda OSPF va BGP protokollarini qo'llab-quvvatlaydigan dinamik marshrutlash paydo bo'ldi. ECMP (Faol-faol) sozlamalari ham mavjud bo'ldi, bu jismoniy routerlarga faol-faol o'zgartirishni bildiradi.
OSPF sozlanmoqda
BGP o'rnatilmoqda
Yana bir yangi narsa - turli protokollar o'rtasida marshrutlarni uzatishni o'rnatish,
marshrutni qayta taqsimlash.
L4/L7 yuk balansi. X-Forwarded-For HTTP sarlavhasi uchun taqdim etilgan. Usiz hamma yig'ladi. Masalan, sizda muvozanatlashayotgan veb-saytingiz bor. Ushbu sarlavhani uzatmasdan, hamma narsa ishlaydi, lekin veb-server statistikasida siz tashrif buyuruvchilarning IP-ni emas, balki balanslovchining IP-ni ko'rdingiz. Endi hammasi joyida.
Shuningdek, "Ilova qoidalari" yorlig'ida siz endi trafik balansini to'g'ridan-to'g'ri boshqaradigan skriptlarni qo'shishingiz mumkin.
vpn. IPSec VPN-dan tashqari, NSX Edge quyidagilarni qo'llab-quvvatlaydi:
- L2 VPN, bu sizga geografik jihatdan tarqalgan saytlar orasidagi tarmoqlarni kengaytirish imkonini beradi. Bunday VPN, masalan, boshqa saytga o'tishda virtual mashina bir xil pastki tarmoqda qolishi va IP manzilini saqlab qolishi uchun kerak.
- SSL VPN Plus, bu foydalanuvchilarga korporativ tarmoqqa masofadan ulanish imkonini beradi. VSphere darajasida bunday funktsiya mavjud edi, ammo vCloud Director uchun bu yangilik.
SSL sertifikatlari. Sertifikatlar endi NSX Edge-ga o'rnatilishi mumkin. Bu yana https uchun sertifikatsiz balanser kimga kerak edi degan savolga keladi.
Ob'ektlarni guruhlash. Ushbu yorliqda tarmoq o'zaro ta'sirining ma'lum qoidalari qo'llaniladigan ob'ektlar guruhlari ko'rsatilgan, masalan, xavfsizlik devori qoidalari.
Ushbu ob'ektlar IP va MAC manzillari bo'lishi mumkin.
Shuningdek, xavfsizlik devori qoidalarini yaratishda foydalanish mumkin bo'lgan xizmatlar (protokol-port kombinatsiyasi) va ilovalar ro'yxati mavjud. Faqat vCD portal ma'muri yangi xizmatlar va ilovalarni qo'shishi mumkin.
Statistika. Ulanish statistikasi: shlyuz, xavfsizlik devori va balanser orqali o'tadigan trafik.
Har bir IPSEC VPN va L2 VPN tunnelining holati va statistikasi.
Jurnal yozish. Edge Settings yorlig'ida siz jurnallarni yozib olish uchun serverni o'rnatishingiz mumkin. Jurnallar DNAT/SNAT, DHCP, xavfsizlik devori, marshrutlash, balanslashtiruvchi, IPsec VPN, SSL VPN Plus uchun ishlaydi.
Har bir ob'ekt/xizmat uchun quyidagi turdagi ogohlantirishlar mavjud:
- Nosozliklarni tuzatish
- Ogohlantirish
- Tanqidiy
- Xato
- Ogohlantirish
β Eslatma
- Ma'lumot
NSX Edge o'lchamlari
Yechilayotgan vazifalarga va VMware hajmiga qarab
NSX Edge
(ixcham)
NSX Edge
(katta)
NSX Edge
(To'rt-katta)
NSX Edge
(X-katta)
vCPU
1
2
4
6
xotira
512MB
1GB
1GB
8GB
disk
512MB
512MB
512MB
4.5GB + 4GB
tayinlash
Biri
ariza, test
ma'lumotlar markazi
Kichik
yoki o'rtacha
ma'lumotlar markazi
Yuklangan
xavfsizlik devori
Balanslash
L7 darajasida yuklaydi
Jadvalda NSX Edge hajmiga qarab tarmoq xizmatlarining ishlash ko'rsatkichlari keltirilgan.
NSX Edge
(ixcham)
NSX Edge
(katta)
NSX Edge
(To'rt-katta)
NSX Edge
(X-katta)
interfeyslarni
10
10
10
10
Sub interfeyslar (magistral)
200
200
200
200
NAT qoidalari
2,048
4,096
4,096
8,192
ARP yozuvlari
Qayta yozilgunga qadar
1,024
2,048
2,048
2,048
FW qoidalari
2000
2000
2000
2000
FW ishlashi
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP hovuzlari
20,000
20,000
20,000
20,000
ECMP yo'llari
8
8
8
8
Statik marshrutlar
2,048
2,048
2,048
2,048
LB basseynlari
64
64
64
1,024
LB virtual serverlari
64
64
64
1,024
LB Server/Hovuz
32
32
32
32
LB sog'lig'ini tekshirish
320
320
320
3,072
LB qo'llash qoidalari
4,096
4,096
4,096
4,096
L2VPN Clients Hub to Spoke
5
5
5
5
Har bir mijoz/server uchun L2VPN tarmoqlari
200
200
200
200
IPSec tunnellari
512
1,600
4,096
6,000
SSLVPN tunnellari
50
100
100
1,000
SSLVPN xususiy tarmoqlari
16
16
16
16
Bir vaqtning o'zida sessiyalar
64,000
1,000,000
1,000,000
1,000,000
Seanslar / soniya
8,000
50,000
50,000
50,000
LB Throughput L7 proksi)
2.2Gbps
2.2Gbps
3Gbps
LB o'tkazuvchanligi L4 rejimi)
6Gbps
6Gbps
6Gbps
LB ulanish/s (L7 proksi)
46,000
50,000
50,000
LB bir vaqtda ulanishlar (L7 proksi)
8,000
60,000
60,000
LB ulanish/s (L4 rejimi)
50,000
50,000
50,000
LB bir vaqtda ulanishlar (L4 rejimi)
600,000
1,000,000
1,000,000
BGP yo'nalishlari
20,000
50,000
250,000
250,000
BGP qo'shnilari
10
20
100
100
BGP marshrutlari qayta taqsimlandi
No Limit
No Limit
No Limit
No Limit
OSPF marshrutlari
20,000
50,000
100,000
100,000
OSPF LSA yozuvlari maksimal 750 turi-1
20,000
50,000
100,000
100,000
OSPF qo'shnilari
10
20
40
40
OSPF marshrutlari qayta taqsimlandi
2000
5000
20,000
20,000
Jami marshrutlar
20,000
50,000
250,000
250,000
β
Jadval shuni ko'rsatadiki, NSX Edge-da faqat Katta o'lchamdan boshlab samarali stsenariylar uchun muvozanatni tashkil qilish tavsiya etiladi.
Bugun menda bor narsa shu. Keyingi qismlarda men har bir NSX Edge tarmoq xizmatini qanday sozlashni batafsil ko'rib chiqaman.
Manba: www.habr.com