Nếu bạn nhìn vào cấu hình của bất kỳ tường lửa nào, rất có thể chúng ta sẽ thấy một bảng chứa nhiều địa chỉ IP, cổng, giao thức và mạng con. Đây là cách các chính sách bảo mật mạng để người dùng truy cập vào tài nguyên được triển khai một cách cổ điển. Lúc đầu, họ cố gắng duy trì trật tự trong cấu hình, nhưng sau đó nhân viên bắt đầu di chuyển từ bộ phận này sang bộ phận khác, máy chủ nhân lên và thay đổi vai trò của chúng, quyền truy cập vào các dự án khác nhau xuất hiện ở những nơi mà chúng thường không được phép và hàng trăm con đường dê không xác định xuất hiện.
Bên cạnh một số quy tắc, nếu bạn may mắn, có những bình luận “Vasya đã yêu cầu tôi làm điều này” hoặc “Đây là lối đi tới DMZ”. Quản trị viên mạng thoát ra và mọi thứ trở nên hoàn toàn không rõ ràng. Sau đó, ai đó quyết định xóa cấu hình của Vasya và SAP bị lỗi vì Vasya đã từng yêu cầu quyền truy cập này để chạy SAP chiến đấu.
Hôm nay tôi sẽ nói về giải pháp VMware NSX, giúp áp dụng chính xác các chính sách bảo mật và truyền thông mạng mà không gây nhầm lẫn trong cấu hình tường lửa. Tôi sẽ cho bạn thấy những tính năng mới đã xuất hiện so với những gì VMware đã có trước đây trong phần này.
VMWare NSX là nền tảng ảo hóa và bảo mật cho các dịch vụ mạng. NSX giải quyết các vấn đề về định tuyến, chuyển mạch, cân bằng tải, tường lửa và có thể làm được nhiều điều thú vị khác.
NSX là sản phẩm kế thừa cho sản phẩm vCloud Networking and Security (vCNS) của VMware và Nicira NVP được mua lại.
Từ vCNS đến NSX
Trước đây, một khách hàng có một máy ảo vCNS vShield Edge riêng biệt trên đám mây được xây dựng trên VMware vCloud. Nó hoạt động như một cổng biên giới, nơi có thể định cấu hình nhiều chức năng mạng: NAT, DHCP, Tường lửa, VPN, cân bằng tải, v.v. vShield Edge giới hạn sự tương tác của máy ảo với thế giới bên ngoài theo các quy tắc được chỉ định trong Tường lửa và NAT. Trong mạng, các máy ảo giao tiếp với nhau một cách tự do trong các mạng con. Nếu bạn thực sự muốn phân chia và chinh phục lưu lượng truy cập, bạn có thể tạo một mạng riêng cho từng phần ứng dụng (các máy ảo khác nhau) và đặt các quy tắc thích hợp cho tương tác mạng của chúng trong tường lửa. Nhưng việc này dài, khó và không thú vị, đặc biệt khi bạn có vài chục máy ảo.
Tại NSX, VMware đã triển khai khái niệm phân đoạn vi mô bằng cách sử dụng tường lửa phân tán được tích hợp trong nhân bộ điều khiển ảo hóa. Nó chỉ định các chính sách tương tác mạng và bảo mật không chỉ cho địa chỉ IP và MAC mà còn cho các đối tượng khác: máy ảo, ứng dụng. Nếu NSX được triển khai trong một tổ chức, các đối tượng này có thể là người dùng hoặc nhóm người dùng từ Active Directory. Mỗi đối tượng như vậy biến thành một phân đoạn vi mô trong vòng bảo mật của riêng nó, trong mạng con được yêu cầu, với DMZ ấm cúng của riêng nó :).
Trước đây, chỉ có một vành đai bảo mật cho toàn bộ nhóm tài nguyên, được bảo vệ bằng switch biên, nhưng với NSX, bạn có thể bảo vệ một máy ảo riêng biệt khỏi các tương tác không cần thiết, ngay cả trong cùng một mạng.
Chính sách bảo mật và kết nối mạng sẽ thích ứng nếu một thực thể chuyển sang một mạng khác. Ví dụ: nếu chúng ta di chuyển một máy có cơ sở dữ liệu sang một phân đoạn mạng khác hoặc thậm chí đến một trung tâm dữ liệu ảo được kết nối khác thì các quy tắc được viết cho máy ảo này sẽ tiếp tục được áp dụng bất kể vị trí mới của nó. Máy chủ ứng dụng vẫn có thể giao tiếp với cơ sở dữ liệu.
Bản thân cổng biên, vCNS vShield Edge, đã được thay thế bằng NSX Edge. Nó có tất cả các tính năng lịch sự của Edge cũ, cùng với một số tính năng hữu ích mới. Chúng tôi sẽ nói về họ hơn nữa.
NSX Edge có gì mới?
Chức năng của NSX Edge phụ thuộc vào
Bức tường lửa. Bạn có thể chọn địa chỉ IP, mạng, giao diện cổng và máy ảo làm đối tượng áp dụng quy tắc.
DHCP. Ngoài việc định cấu hình dải địa chỉ IP sẽ được cấp tự động cho các máy ảo trên mạng này, NSX Edge hiện có các chức năng sau: Binding и Đặt lại.
Trong tab Bindings Bạn có thể liên kết địa chỉ MAC của máy ảo với địa chỉ IP nếu bạn cần địa chỉ IP không thay đổi. Điều chính là địa chỉ IP này không có trong DHCP Pool.
Trong tab Đặt lại chuyển tiếp tin nhắn DHCP được định cấu hình cho các máy chủ DHCP được đặt bên ngoài tổ chức của bạn trong vCloud Director, bao gồm các máy chủ DHCP của cơ sở hạ tầng vật lý.
Lộ trình. vShield Edge chỉ có thể định cấu hình định tuyến tĩnh. Định tuyến động với sự hỗ trợ cho các giao thức OSPF và BGP đã xuất hiện ở đây. Cài đặt ECMP (Hoạt động tích cực) cũng đã khả dụng, có nghĩa là chuyển đổi dự phòng sang hoạt động tích cực cho các bộ định tuyến vật lý.
Thiết lập OSPF
Thiết lập BGP
Một điều mới nữa là thiết lập việc chuyển tuyến giữa các giao thức khác nhau,
phân phối lại tuyến đường.
Cân bằng tải L4/L7. X-Forwarded-For đã được giới thiệu cho tiêu đề HTTP. Mọi người đều khóc khi không có anh. Ví dụ: bạn có một trang web mà bạn đang cân bằng. Không chuyển tiếp tiêu đề này, mọi thứ đều hoạt động, nhưng trong số liệu thống kê của máy chủ web, bạn không thấy IP của khách truy cập mà là IP của bộ cân bằng. Bây giờ mọi thứ đều đúng.
Ngoài ra, trong tab Quy tắc ứng dụng, giờ đây bạn có thể thêm các tập lệnh sẽ trực tiếp kiểm soát cân bằng lưu lượng.
VPN. Ngoài IPSec VPN, NSX Edge còn hỗ trợ:
- L2 VPN, cho phép bạn mở rộng mạng giữa các trang web phân tán về mặt địa lý. Ví dụ: cần có VPN như vậy để khi di chuyển sang trang khác, máy ảo vẫn ở trong cùng mạng con và giữ nguyên địa chỉ IP của nó.
- SSL VPN Plus, cho phép người dùng kết nối từ xa với mạng công ty. Ở cấp độ vSphere đã có chức năng như vậy, nhưng đối với vCloud Director thì đây là một sự đổi mới.
Chứng chỉ SSL. Chứng chỉ hiện có thể được cài đặt trên NSX Edge. Điều này một lần nữa đặt ra câu hỏi ai cần một bộ cân bằng mà không có chứng chỉ cho https.
Nhóm các đối tượng. Trong tab này, bạn chỉ định các nhóm đối tượng mà các quy tắc tương tác mạng nhất định sẽ áp dụng, ví dụ: quy tắc tường lửa.
Những đối tượng này có thể là địa chỉ IP và MAC.
Ngoài ra còn có một danh sách các dịch vụ (kết hợp cổng giao thức) và các ứng dụng có thể được sử dụng khi tạo quy tắc tường lửa. Chỉ quản trị viên cổng vCD mới có thể thêm các dịch vụ và ứng dụng mới.
Số liệu thống kê. Thống kê kết nối: lưu lượng truy cập đi qua cổng, tường lửa và bộ cân bằng.
Trạng thái và số liệu thống kê cho từng đường hầm IPSEC VPN và L2 VPN.
Ghi nhật ký. Trong tab Cài đặt cạnh, bạn có thể đặt máy chủ để ghi nhật ký. Tính năng ghi nhật ký hoạt động cho DNAT/SNAT, DHCP, Tường lửa, định tuyến, bộ cân bằng, IPsec VPN, SSL VPN Plus.
Các loại cảnh báo sau đây có sẵn cho từng đối tượng/dịch vụ:
—Gỡ lỗi
-Báo động
-Phê bình
- Lỗi
-Cảnh báo
- Để ý
- Thông tin
Kích thước cạnh NSX
Tùy thuộc vào nhiệm vụ được giải quyết và dung lượng của VMware
NSX Edge
(Gọn nhẹ)
NSX Edge
(Large)
NSX Edge
(Quad-Lớn)
NSX Edge
(X-Lớn)
vCPU
1
2
4
6
Bộ nhớ
512MB
1GB
1GB
8GB
Đĩa
512MB
512MB
512MB
4.5GB + 4GB
Bổ nhiệm
Một điều
ứng dụng, kiểm tra
trung tâm dữ liệu
Nhỏ
hoặc trung bình
trung tâm dữ liệu
Nạp vào
bức tường lửa
Cân bằng
tải ở mức L7
Bảng dưới đây là số liệu hoạt động của các dịch vụ mạng tùy theo quy mô của NSX Edge.
NSX Edge
(Gọn nhẹ)
NSX Edge
(Large)
NSX Edge
(Quad-Lớn)
NSX Edge
(X-Lớn)
Giao diện
10
10
10
10
Giao diện phụ (Trunk)
200
200
200
200
Quy tắc NAT
2,048
4,096
4,096
8,192
Mục nhập ARP
Cho đến khi ghi đè
1,024
2,048
2,048
2,048
Quy tắc FW
2000
2000
2000
2000
Hiệu suất FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Nhóm DHCP
20,000
20,000
20,000
20,000
Đường dẫn ECMP
8
8
8
8
Các tuyến đường tĩnh
2,048
2,048
2,048
2,048
Bể bơi LB
64
64
64
1,024
Máy chủ ảo LB
64
64
64
1,024
Máy chủ/Nhóm LB
32
32
32
32
Kiểm tra sức khỏe LB
320
320
320
3,072
Quy tắc ứng dụng LB
4,096
4,096
4,096
4,096
Trung tâm khách hàng L2VPN đã lên tiếng
5
5
5
5
Mạng L2VPN trên mỗi máy khách/máy chủ
200
200
200
200
Đường hầm IPSec
512
1,600
4,096
6,000
Đường hầm SSLVPN
50
100
100
1,000
Mạng riêng SSLVPN
16
16
16
16
Phiên đồng thời
64,000
1,000,000
1,000,000
1,000,000
Phiên/giây
8,000
50,000
50,000
50,000
Proxy L7 thông lượng LB)
2.2Gbps
2.2Gbps
3Gbps
Chế độ L4 thông lượng LB)
6Gbps
6Gbps
6Gbps
Số kết nối LB (Proxy L7)
46,000
50,000
50,000
Kết nối đồng thời LB (Proxy L7)
8,000
60,000
60,000
Số kết nối LB (Chế độ L4)
50,000
50,000
50,000
Kết nối đồng thời LB (Chế độ L4)
600,000
1,000,000
1,000,000
Tuyến đường BGP
20,000
50,000
250,000
250,000
Hàng xóm BGP
10
20
100
100
Các tuyến BGP được phân phối lại
Không giới hạn
Không giới hạn
Không giới hạn
Không giới hạn
Tuyến đường OSPF
20,000
50,000
100,000
100,000
Mục nhập LSA OSPF Tối đa 750 Loại-1
20,000
50,000
100,000
100,000
Các vùng lân cận OSPF
10
20
40
40
Các tuyến OSPF được phân phối lại
2000
5000
20,000
20,000
Tổng số tuyến đường
20,000
50,000
250,000
250,000
→
Bảng cho thấy nên tổ chức cân bằng trên NSX Edge cho các kịch bản hiệu quả chỉ bắt đầu từ kích thước Lớn.
Đó là tất cả những gì tôi có cho ngày hôm nay. Trong các phần sau tôi sẽ trình bày chi tiết cách định cấu hình từng dịch vụ mạng NSX Edge.
Nguồn: www.habr.com