VMware NSX dành cho các bạn nhỏ. Phần 1

Nếu bạn nhìn vào cấu hình của bất kỳ tường lửa nào, rất có thể chúng ta sẽ thấy một bảng chứa nhiều địa chỉ IP, cổng, giao thức và mạng con. Đây là cách các chính sách bảo mật mạng để người dùng truy cập vào tài nguyên được triển khai một cách cổ điển. Lúc đầu, họ cố gắng duy trì trật tự trong cấu hình, nhưng sau đó nhân viên bắt đầu di chuyển từ bộ phận này sang bộ phận khác, máy chủ nhân lên và thay đổi vai trò của chúng, quyền truy cập vào các dự án khác nhau xuất hiện ở những nơi mà chúng thường không được phép và hàng trăm con đường dê không xác định xuất hiện.

Bên cạnh một số quy tắc, nếu bạn may mắn, có những bình luận “Vasya đã yêu cầu tôi làm điều này” hoặc “Đây là lối đi tới DMZ”. Quản trị viên mạng thoát ra và mọi thứ trở nên hoàn toàn không rõ ràng. Sau đó, ai đó quyết định xóa cấu hình của Vasya và SAP bị lỗi vì Vasya đã từng yêu cầu quyền truy cập này để chạy SAP chiến đấu.

Hôm nay tôi sẽ nói về giải pháp VMware NSX, giúp áp dụng chính xác các chính sách bảo mật và truyền thông mạng mà không gây nhầm lẫn trong cấu hình tường lửa. Tôi sẽ cho bạn thấy những tính năng mới đã xuất hiện so với những gì VMware đã có trước đây trong phần này.

VMWare NSX là nền tảng ảo hóa và bảo mật cho các dịch vụ mạng. NSX giải quyết các vấn đề về định tuyến, chuyển mạch, cân bằng tải, tường lửa và có thể làm được nhiều điều thú vị khác.

NSX là sản phẩm kế thừa cho sản phẩm vCloud Networking and Security (vCNS) của VMware và Nicira NVP được mua lại.

Từ vCNS đến NSX

Trước đây, một khách hàng có một máy ảo vCNS vShield Edge riêng biệt trên đám mây được xây dựng trên VMware vCloud. Nó hoạt động như một cổng biên giới, nơi có thể định cấu hình nhiều chức năng mạng: NAT, DHCP, Tường lửa, VPN, cân bằng tải, v.v. vShield Edge giới hạn sự tương tác của máy ảo với thế giới bên ngoài theo các quy tắc được chỉ định trong Tường lửa và NAT. Trong mạng, các máy ảo giao tiếp với nhau một cách tự do trong các mạng con. Nếu bạn thực sự muốn phân chia và chinh phục lưu lượng truy cập, bạn có thể tạo một mạng riêng cho từng phần ứng dụng (các máy ảo khác nhau) và đặt các quy tắc thích hợp cho tương tác mạng của chúng trong tường lửa. Nhưng việc này dài, khó và không thú vị, đặc biệt khi bạn có vài chục máy ảo.

Tại NSX, VMware đã triển khai khái niệm phân đoạn vi mô bằng cách sử dụng tường lửa phân tán được tích hợp trong nhân bộ điều khiển ảo hóa. Nó chỉ định các chính sách tương tác mạng và bảo mật không chỉ cho địa chỉ IP và MAC mà còn cho các đối tượng khác: máy ảo, ứng dụng. Nếu NSX được triển khai trong một tổ chức, các đối tượng này có thể là người dùng hoặc nhóm người dùng từ Active Directory. Mỗi đối tượng như vậy biến thành một phân đoạn vi mô trong vòng bảo mật của riêng nó, trong mạng con được yêu cầu, với DMZ ấm cúng của riêng nó :).

Trước đây, chỉ có một vành đai bảo mật cho toàn bộ nhóm tài nguyên, được bảo vệ bằng switch biên, nhưng với NSX, bạn có thể bảo vệ một máy ảo riêng biệt khỏi các tương tác không cần thiết, ngay cả trong cùng một mạng.

Chính sách bảo mật và kết nối mạng sẽ thích ứng nếu một thực thể chuyển sang một mạng khác. Ví dụ: nếu chúng ta di chuyển một máy có cơ sở dữ liệu sang một phân đoạn mạng khác hoặc thậm chí đến một trung tâm dữ liệu ảo được kết nối khác thì các quy tắc được viết cho máy ảo này sẽ tiếp tục được áp dụng bất kể vị trí mới của nó. Máy chủ ứng dụng vẫn có thể giao tiếp với cơ sở dữ liệu.

Bản thân cổng biên, vCNS vShield Edge, đã được thay thế bằng NSX Edge. Nó có tất cả các tính năng lịch sự của Edge cũ, cùng với một số tính năng hữu ích mới. Chúng tôi sẽ nói về họ hơn nữa.

NSX Edge có gì mới?

Chức năng của NSX Edge phụ thuộc vào phiên bản NSX. Có năm trong số đó: Tiêu chuẩn, Chuyên nghiệp, Nâng cao, Doanh nghiệp, Cộng với Văn phòng chi nhánh từ xa. Mọi thứ mới và thú vị chỉ có thể được nhìn thấy khi bắt đầu với Advanced. Bao gồm một giao diện mới, cho đến khi vCloud hoàn toàn chuyển sang HTML5 (VMware hứa hẹn vào mùa hè năm 2019), sẽ mở trong một tab mới.

Bức tường lửa. Bạn có thể chọn địa chỉ IP, mạng, giao diện cổng và máy ảo làm đối tượng áp dụng quy tắc.

DHCP. Ngoài việc định cấu hình dải địa chỉ IP sẽ được cấp tự động cho các máy ảo trên mạng này, NSX Edge hiện có các chức năng sau: Binding и Đặt lại.

Trong tab Bindings Bạn có thể liên kết địa chỉ MAC của máy ảo với địa chỉ IP nếu bạn cần địa chỉ IP không thay đổi. Điều chính là địa chỉ IP này không có trong DHCP Pool.

Trong tab Đặt lại chuyển tiếp tin nhắn DHCP được định cấu hình cho các máy chủ DHCP được đặt bên ngoài tổ chức của bạn trong vCloud Director, bao gồm các máy chủ DHCP của cơ sở hạ tầng vật lý.

Lộ trình. vShield Edge chỉ có thể định cấu hình định tuyến tĩnh. Định tuyến động với sự hỗ trợ cho các giao thức OSPF và BGP đã xuất hiện ở đây. Cài đặt ECMP (Hoạt động tích cực) cũng đã khả dụng, có nghĩa là chuyển đổi dự phòng sang hoạt động tích cực cho các bộ định tuyến vật lý.

Thiết lập OSPF

Thiết lập BGP

Một điều mới nữa là thiết lập việc chuyển tuyến giữa các giao thức khác nhau,
phân phối lại tuyến đường.

Cân bằng tải L4/L7. X-Forwarded-For đã được giới thiệu cho tiêu đề HTTP. Mọi người đều khóc khi không có anh. Ví dụ: bạn có một trang web mà bạn đang cân bằng. Không chuyển tiếp tiêu đề này, mọi thứ đều hoạt động, nhưng trong số liệu thống kê của máy chủ web, bạn không thấy IP của khách truy cập mà là IP của bộ cân bằng. Bây giờ mọi thứ đều đúng.

Ngoài ra, trong tab Quy tắc ứng dụng, giờ đây bạn có thể thêm các tập lệnh sẽ trực tiếp kiểm soát cân bằng lưu lượng.

VPN. Ngoài IPSec VPN, NSX Edge còn hỗ trợ:

• L2 VPN, cho phép bạn mở rộng mạng giữa các trang web phân tán về mặt địa lý. Ví dụ: cần có VPN như vậy để khi di chuyển sang trang khác, máy ảo vẫn ở trong cùng mạng con và giữ nguyên địa chỉ IP của nó.

• SSL VPN Plus, cho phép người dùng kết nối từ xa với mạng công ty. Ở cấp độ vSphere đã có chức năng như vậy, nhưng đối với vCloud Director thì đây là một sự đổi mới.

Chứng chỉ SSL. Chứng chỉ hiện có thể được cài đặt trên NSX Edge. Điều này một lần nữa đặt ra câu hỏi ai cần một bộ cân bằng mà không có chứng chỉ cho https.

Nhóm các đối tượng. Trong tab này, bạn chỉ định các nhóm đối tượng mà các quy tắc tương tác mạng nhất định sẽ áp dụng, ví dụ: quy tắc tường lửa.

Những đối tượng này có thể là địa chỉ IP và MAC.

 


Ngoài ra còn có một danh sách các dịch vụ (kết hợp cổng giao thức) và các ứng dụng có thể được sử dụng khi tạo quy tắc tường lửa. Chỉ quản trị viên cổng vCD mới có thể thêm các dịch vụ và ứng dụng mới.

 


Số liệu thống kê. Thống kê kết nối: lưu lượng truy cập đi qua cổng, tường lửa và bộ cân bằng.

Trạng thái và số liệu thống kê cho từng đường hầm IPSEC VPN và L2 VPN.

Ghi nhật ký. Trong tab Cài đặt cạnh, bạn có thể đặt máy chủ để ghi nhật ký. Tính năng ghi nhật ký hoạt động cho DNAT/SNAT, DHCP, Tường lửa, định tuyến, bộ cân bằng, IPsec VPN, SSL VPN Plus.
 
Các loại cảnh báo sau đây có sẵn cho từng đối tượng/dịch vụ:

—Gỡ lỗi
-Báo động
-Phê bình
- Lỗi
-Cảnh báo
- Để ý
- Thông tin

Kích thước cạnh NSX

Tùy thuộc vào nhiệm vụ được giải quyết và dung lượng của VMware đề nghị tạo NSX Edge với các kích thước sau:

NSX Edge
(Gọn nhẹ)

NSX Edge
(Large)

NSX Edge
(Quad-Lớn)

NSX Edge
(X-Lớn)

vCPU

1

2

4

6

Bộ nhớ

512MB

1GB

1GB

8GB

Đĩa

512MB

512MB

512MB

4.5GB + 4GB

Bổ nhiệm

Một điều
ứng dụng, kiểm tra
trung tâm dữ liệu

Nhỏ
hoặc trung bình
trung tâm dữ liệu

Nạp vào
bức tường lửa

Cân bằng
tải ở mức L7

Bảng dưới đây là số liệu hoạt động của các dịch vụ mạng tùy theo quy mô của NSX Edge.

NSX Edge
(Gọn nhẹ)

NSX Edge
(Large)

NSX Edge
(Quad-Lớn)

NSX Edge
(X-Lớn)

Giao diện

10

10

10

10

Giao diện phụ (Trunk)

200

200

200

200

Quy tắc NAT

2,048

4,096

4,096

8,192

Mục nhập ARP
Cho đến khi ghi đè

1,024

2,048

2,048

2,048

Quy tắc FW

2000

2000

2000

2000

Hiệu suất FW

3Gbps

9.7Gbps

9.7Gbps

9.7Gbps

Nhóm DHCP

20,000

20,000

20,000

20,000

Đường dẫn ECMP

8

8

8

8

Các tuyến đường tĩnh

2,048

2,048

2,048

2,048

Bể bơi LB

64

64

64

1,024

Máy chủ ảo LB

64

64

64

1,024

Máy chủ/Nhóm LB

32

32

32

32

Kiểm tra sức khỏe LB

320

320

320

3,072

Quy tắc ứng dụng LB

4,096

4,096

4,096

4,096

Trung tâm khách hàng L2VPN đã lên tiếng

5

5

5

5

Mạng L2VPN trên mỗi máy khách/máy chủ

200

200

200

200

Đường hầm IPSec

512

1,600

4,096

6,000

Đường hầm SSLVPN

50

100

100

1,000

Mạng riêng SSLVPN

16

16

16

16

Phiên đồng thời

64,000

1,000,000

1,000,000

1,000,000

Phiên/giây

8,000

50,000

50,000

50,000

Proxy L7 thông lượng LB)

2.2Gbps

2.2Gbps

3Gbps

Chế độ L4 thông lượng LB)

6Gbps

6Gbps

6Gbps

Số kết nối LB (Proxy L7)

46,000

50,000

50,000

Kết nối đồng thời LB (Proxy L7)

8,000

60,000

60,000

Số kết nối LB (Chế độ L4)

50,000

50,000

50,000

Kết nối đồng thời LB (Chế độ L4)

600,000

1,000,000

1,000,000

Tuyến đường BGP

20,000

50,000

250,000

250,000

Hàng xóm BGP

10

20

100

100

Các tuyến BGP được phân phối lại

Không giới hạn

Không giới hạn

Không giới hạn

Không giới hạn

Tuyến đường OSPF

20,000

50,000

100,000

100,000

Mục nhập LSA OSPF Tối đa 750 Loại-1

20,000

50,000

100,000

100,000

Các vùng lân cận OSPF

10

20

40

40

Các tuyến OSPF được phân phối lại

2000

5000

20,000

20,000

Tổng số tuyến đường

20,000

50,000

250,000

250,000

→ Nguồn

Bảng cho thấy nên tổ chức cân bằng trên NSX Edge cho các kịch bản hiệu quả chỉ bắt đầu từ kích thước Lớn.

Đó là tất cả những gì tôi có cho ngày hôm nay. Trong các phần sau tôi sẽ trình bày chi tiết cách định cấu hình từng dịch vụ mạng NSX Edge.

Nguồn: www.habr.com