如果您查看任何防火墙的配置,那么我们很可能会看到一张包含大量 IP 地址、端口、协议和子网的表。 这就是用户访问资源的网络安全策略的典型实施方式。 起初,他们试图维持配置中的顺序,但随后员工开始从一个部门移动到另一个部门,服务器成倍增加并改变其角色,对不同项目的访问出现在通常不允许的地方,并且出现了数百条未知的山羊路径。
在一些规则旁边,如果你幸运的话,会有评论“Vasya 让我这样做”或“这是通往 DMZ 的通道”。 网络管理员退出,一切变得完全不明朗。 然后有人决定清理 Vasya 的配置,SAP 崩溃了,因为 Vasya 曾经要求此访问权限来运行战斗 SAP。
今天我将讨论 VMware NSX 解决方案,它有助于精确应用网络通信和安全策略,而不会混淆防火墙配置。 在这一部分中,我将向您展示与 VMware 之前的功能相比出现了哪些新功能。
VMWare NSX 是一个用于网络服务的虚拟化和安全平台。 NSX 解决了路由、交换、负载平衡、防火墙的问题,并且可以做许多其他有趣的事情。
NSX 是 VMware 自己的 vCloud Networking and Security (vCNS) 产品以及收购的 Nicira NVP 的后续产品。
从 vCNS 到 NSX
此前,客户在基于 VMware vCloud 构建的云中拥有单独的 vCNS vShield Edge 虚拟机。 它充当边界网关,可以在其中配置许多网络功能:NAT、DHCP、防火墙、VPN、负载均衡器等。vShield Edge 根据 中指定的规则限制虚拟机与外界的交互。防火墙和 NAT。 在网络中,虚拟机可以在子网内自由地相互通信。 如果你确实想划分和征服流量,你可以为应用程序的各个部分(不同的虚拟机)创建一个单独的网络,并在防火墙中为它们的网络交互设置适当的规则。 但这是漫长、困难且无趣的,尤其是当您有几十个虚拟机时。
在 NSX 中,VMware 使用虚拟机管理程序内核中内置的分布式防火墙实现了微分段的概念。 它不仅指定 IP 和 MAC 地址的安全和网络交互策略,还指定其他对象:虚拟机、应用程序。 如果 NSX 部署在组织内,这些对象可以是 Active Directory 中的一个用户或一组用户。 每个这样的对象都会变成其自己的安全循环中的微分段,在所需的子网中,并具有其自己舒适的 DMZ :)。
以前,整个资源池只有一个安全边界,由边缘交换机保护,但借助 NSX,您可以保护单独的虚拟机免遭不必要的交互,即使在同一网络内也是如此。
如果实体移动到不同的网络,安全和网络策略就会进行调整。 例如,如果我们将一台带有数据库的机器移动到另一个网段,甚至移动到另一个连接的虚拟数据中心,那么为该虚拟机编写的规则将继续适用,无论其新位置如何。 应用程序服务器仍然能够与数据库通信。
Edge 网关本身 vCNS vShield Edge 已被 NSX Edge 取代。 它具有旧 Edge 的所有绅士功能,以及一些新的有用功能。 我们将进一步讨论它们。
NSX Edge 有哪些新增功能?
NSX Edge 功能取决于 国家安全局。 其中有五种:标准版、专业版、高级版、企业版和远程分支机构版。 一切新鲜有趣的东西只有从高级开始才能看到。 包括一个新界面,在 vCloud 完全切换到 HTML5 之前(VMware 承诺在 2019 年夏季推出),该界面将在新选项卡中打开。
防火墙。 您可以选择 IP 地址、网络、网关接口和虚拟机作为要应用规则的对象。
DHCP。 除了配置自动分配给该网络上的虚拟机的 IP 地址范围外,NSX Edge 现在还具有以下功能: 捆绑 и 继电器.
在标签中 绑定 如果您希望 IP 地址不发生变化,可以将虚拟机的 MAC 地址与 IP 地址绑定。 最主要的是这个IP地址不包含在DHCP池中。
在标签中 继电器 DHCP 消息中继配置为位于 vCloud Director 中组织外部的 DHCP 服务器,包括物理基础架构的 DHCP 服务器。
路由。 vShield Edge 只能配置静态路由。 这里出现了支持 OSPF 和 BGP 协议的动态路由。 ECMP(主动-主动)设置也已可用,这意味着主动-主动故障转移到物理路由器。
设置 OSPF
设置 BGP
另一个新事物是设置不同协议之间的路由传输,
路由重新分配。
L4/L7 负载均衡器。 X-Forwarded-For 是为 HTTPs 标头引入的。 没有他,每个人都哭了。 例如,您有一个正在平衡的网站。 如果不转发此标头,一切都会正常,但在 Web 服务器统计信息中,您看到的不是访问者的 IP,而是平衡器的 IP。 现在一切都对了。
此外,在“应用程序规则”选项卡中,您现在可以添加直接控制流量平衡的脚本。
VPN。 除了 IPSec VPN 之外,NSX Edge 还支持:
- L2 VPN,允许您在地理上分散的站点之间延伸网络。 例如,需要这样的 VPN,以便在移动到另一个站点时,虚拟机仍位于同一子网中并保留其 IP 地址。
- SSL VPN Plus,允许用户远程连接到公司网络。 在vSphere层面有这样的功能,但对于vCloud Director来说这是一个创新。
SSL 证书。 现在可以在 NSX Edge 上安装证书。 这又涉及到谁需要一个没有 https 证书的平衡器的问题。
对对象进行分组。 在此选项卡中,指定将应用某些网络交互规则(例如防火墙规则)的对象组。
这些对象可以是 IP 和 MAC 地址。
还有创建防火墙规则时可以使用的服务(协议端口组合)和应用程序列表。 只有 vCD 门户管理员才能添加新服务和应用程序。
统计。 连接统计:经过网关、防火墙和平衡器的流量。
每个 IPSEC VPN 和 L2 VPN 隧道的状态和统计数据。
记录。 在“Edge 设置”选项卡中,您可以设置记录日志的服务器。 日志记录适用于 DNAT/SNAT、DHCP、防火墙、路由、平衡器、IPsec VPN、SSL VPN Plus。
每个对象/服务可使用以下类型的警报:
-调试
-警报
-批判的
- 错误
- 警告
- 注意
— 信息
NSX 边缘尺寸
取决于要解决的任务和 VMware 的数量 创建以下大小的 NSX Edge:
NSX 边缘
(袖珍的)
NSX 边缘
(大)
NSX 边缘
(四人大号)
NSX 边缘
(XL)
虚拟CPU
1
2
4
6
内存
512MB
1GB
1GB
8GB
圆盘
512MB
512MB
512MB
4.5GB + 4GB
任命
一件事
应用、测试
数据中心
一个小的
或平均
数据中心
已加载
防火墙
平衡性
L7级负载
下表是根据 NSX Edge 大小的网络服务的运行指标。
NSX 边缘
(袖珍的)
NSX 边缘
(大)
NSX 边缘
(四人大号)
NSX 边缘
(XL)
接口
10
10
10
10
子接口(Trunk)
200
200
200
200
NAT规则
2,048
4,096
4,096
8,192
ARP 条目
直到覆盖
1,024
2,048
2,048
2,048
固件规则
2000
2000
2000
2000
固件性能
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP 池
20,000
20,000
20,000
20,000
ECMP 路径
8
8
8
8
静态路线
2,048
2,048
2,048
2,048
LB池
64
64
64
1,024
负载均衡虚拟服务器
64
64
64
1,024
负载均衡服务器/池
32
32
32
32
LB 健康检查
320
320
320
3,072
LB申请规则
4,096
4,096
4,096
4,096
L2VPN 客户端中心到辐射
5
5
5
5
每个客户端/服务器的 L2VPN 网络
200
200
200
200
IPSec 隧道
512
1,600
4,096
6,000
SSLVPN 隧道
50
100
100
1,000
SSLVPN 专用网络
16
16
16
16
并发会议
64,000
1,000,000
1,000,000
1,000,000
会话/秒
8,000
50,000
50,000
50,000
LB 吞吐量 L7 代理)
2.2Gbps
2.2Gbps
3Gbps
LB 吞吐量 L4 模式)
6Gbps
6Gbps
6Gbps
LB 连接数(L7 代理)
46,000
50,000
50,000
LB并发连接数(L7代理)
8,000
60,000
60,000
LB 连接数/秒(L4 模式)
50,000
50,000
50,000
LB并发连接数(L4模式)
600,000
1,000,000
1,000,000
BGP 路由
20,000
50,000
250,000
250,000
BGP 邻居
10
20
100
100
BGP 路由重新分配
没有限制
没有限制
没有限制
没有限制
OSPF 路由
20,000
50,000
100,000
100,000
OSPF LSA 条目最大 750 Type-1
20,000
50,000
100,000
100,000
OSPF 邻接关系
10
20
40
40
OSPF路由重分配
2000
5000
20,000
20,000
总路线
20,000
50,000
250,000
250,000
→
该表显示,建议仅从大尺寸开始为高效场景在 NSX Edge 上组织平衡。
这就是我今天的全部内容。 在以下部分中,我将详细介绍如何配置每个 NSX Edge 网络服务。
来源: habr.com