如果您查看任何防火牆的配置,那麼我們很可能會看到一張包含大量 IP 位址、連接埠、協定和子網路的表。 這就是使用者存取資源的網路安全策略的典型實施方式。 起初,他們試圖維持配置中的順序,但隨後員工開始從一個部門移動到另一個部門,伺服器成倍增加並改變其角色,對不同項目的訪問出現在通常不允許的地方,並且出現了數百條未知的山羊路徑。
在一些規則旁邊,如果你幸運的話,會有評論“Vasya 讓我這樣做”或“這是通往 DMZ 的通道”。 網路管理員退出,一切變得完全不明朗。 然後有人決定清除 Vasya 的配置,SAP 崩潰了,因為 Vasya 曾經要求此存取權限來運行戰鬥 SAP。
今天我將討論 VMware NSX 解決方案,它有助於精確應用網路通訊和安全策略,而不會混淆防火牆配置。 在這一部分中,我將向您展示與 VMware 之前的功能相比出現了哪些新功能。
VMWare NSX 是一個用於網路服務的虛擬化和安全平台。 NSX 解決了路由、交換、負載平衡、防火牆的問題,並且可以做許多其他有趣的事情。
NSX 是 VMware 自己的 vCloud Networking and Security (vCNS) 產品以及收購的 Nicira NVP 的後續產品。
從 vCNS 到 NSX
在此之前,客戶在基於 VMware vCloud 建置的雲端中擁有單獨的 vCNS vShield Edge 虛擬機器。 它充當邊界網關,可以在其中配置許多網路功能:NAT、DHCP、防火牆、VPN、負載平衡器等。vShield Edge 根據 中指定的規則限制虛擬機器與外界的交互。防火牆和 NAT。 在網路中,虛擬機器可以在子網路內自由地相互通訊。 如果你確實想劃分和征服流量,你可以為應用程式的各個部分(不同的虛擬機)創建一個單獨的網絡,並在防火牆中為它們的網絡交互設置適當的規則。 但這是漫長、困難且無趣的,尤其是當您有幾十個虛擬機器時。
在 NSX 中,VMware 使用虛擬機器管理程式核心中內建的分散式防火牆實現了微分段的概念。 它不僅指定 IP 和 MAC 位址的安全性和網路互動策略,還指定其他物件:虛擬機器、應用程式。 如果 NSX 部署在組織內,這些物件可以是 Active Directory 中的一個使用者或一組使用者。 每個這樣的物件都會變成自己的安全循環中的微分段,在所需的子網中,並具有其自己舒適的 DMZ :)。
以前,整個資源池只有一個安全邊界,由邊緣交換器保護,但藉助 NSX,您可以保護單獨的虛擬機免遭不必要的交互,即使在同一網路內也是如此。
如果實體移動到不同的網絡,安全性和網路策略就會進行調整。 例如,如果我們將一台具有資料庫的機器移動到另一個網段,甚至移動到另一個連接的虛擬資料中心,那麼為該虛擬機器編寫的規則將繼續適用,無論其新位置如何。 應用程式伺服器仍然能夠與資料庫通訊。
Edge 閘道本身 vCNS vShield Edge 已被 NSX Edge 取代。 它具有舊 Edge 的所有紳士功能,以及一些新的有用功能。 我們將進一步討論它們。
NSX Edge 有哪些新增功能?
NSX Edge 功能取決於 國家安全局。 其中有五種:標準版、專業版、高級版、企業版和遠端分公司版。 一切新鮮有趣的東西只有從高級開始才能看到。 包括一個新介面,在 vCloud 完全切換到 HTML5 之前(VMware 承諾在 2019 年夏季推出),該介面將在新分頁中開啟。
防火牆。 您可以選擇 IP 位址、網路、閘道介面和虛擬機器作為要套用規則的物件。
DHCP。 除了設定自動指派給該網路上的虛擬機器的 IP 位址範圍外,NSX Edge 現在還具有以下功能: 捆綁 и 中繼.
在選項卡中 綁定 如果您希望 IP 位址不會發生變化,可以將虛擬機器的 MAC 位址與 IP 位址綁定。 最主要的是這個IP位址不包含在DHCP池中。
在選項卡中 中繼 DHCP 訊息中繼配置為位於 vCloud Director 中組織外部的 DHCP 伺服器,包含實體基礎架構的 DHCP 伺服器。
路由。 vShield Edge 只能配置靜態路由。 這裡出現了支援 OSPF 和 BGP 協定的動態路由。 ECMP(主動-主動)設定也已可用,這意味著主動-主動故障轉移到實體路由器。
設定 OSPF
設定 BGP
另一個新事物是設定不同協定之間的路由傳輸,
路由重新分配。
L4/L7 負載平衡器。 X-Forwarded-For 是為 HTTPs 標頭引入的。 沒有他,每個人都哭了。 例如,您有一個正在平衡的網站。 如果不轉發此標頭,一切都會正常,但在 Web 伺服器統計資料中,您看到的不是訪客的 IP,而是平衡器的 IP。 現在一切都對了。
此外,在「應用程式規則」標籤中,您現在可以新增直接控制流量平衡的腳本。
VPN。 除了 IPSec VPN 之外,NSX Edge 還支援:
- L2 VPN,讓您在地理上分散的站點之間延伸網路。 例如,需要這樣的 VPN,以便在移動到另一個網站時,虛擬機器仍位於同一子網路中並保留其 IP 位址。
- SSL VPN Plus,讓使用者遠端連接到公司網路。 在vSphere層面有這樣的功能,但對於vCloud Director來說這是一個創新。
SSL 憑證。 現在可以在 NSX Edge 上安裝憑證。 這又牽涉到誰需要一個沒有 https 憑證的平衡器的問題。
將物件分組。 在此標籤中,指定將套用某些網路互動規則(例如防火牆規則)的物件群組。
這些物件可以是 IP 和 MAC 位址。
還有建立防火牆規則時可以使用的服務(協定連接埠組合)和應用程式清單。 只有 vCD 入口網站管理員才能新增新服務和應用程式。
統計數據。 連線統計:經過網關、防火牆和平衡器的流量。
每個 IPSEC VPN 和 L2 VPN 隧道的狀態和統計資料。
記錄。 在「Edge 設定」標籤中,您可以設定記錄日誌的伺服器。 日誌記錄適用於 DNAT/SNAT、DHCP、防火牆、路由、平衡器、IPsec VPN、SSL VPN Plus。
每個物件/服務可使用以下類型的警報:
-偵錯
-警報
-批判的
- 錯誤
-警告
- 注意
- 資訊
NSX 邊緣尺寸
取決於要解決的任務和 VMware 的數量 建立以下大小的 NSX Edge:
NSX 邊緣
(袖珍的)
NSX 邊緣
(大)
NSX 邊緣
(四人大號)
NSX 邊緣
(XL)
虛擬CPU
1
2
4
6
記憶體應用
512MB
1GB
1GB
8GB
圓盤
512MB
512MB
512MB
4.5GB + 4GB
任命
一
應用、測試
資料中心
小
或平均
資料中心
已載入
防火牆
平衡
L7級負載
下表是根據 NSX Edge 大小的網路服務的運作指標。
NSX 邊緣
(袖珍的)
NSX 邊緣
(大)
NSX 邊緣
(四人大號)
NSX 邊緣
(XL)
接口
10
10
10
10
子介面(Trunk)
200
200
200
200
NAT規則
2,048
4,096
4,096
8,192
ARP 條目
直到覆蓋
1,024
2,048
2,048
2,048
韌體規則
2000
2000
2000
2000
韌體性能
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP 池
20,000
20,000
20,000
20,000
ECMP 路徑
8
8
8
8
靜態路由
2,048
2,048
2,048
2,048
LB池
64
64
64
1,024
負載平衡虛擬伺服器
64
64
64
1,024
負載平衡伺服器/池
32
32
32
32
LB 健康檢查
320
320
320
3,072
LB申請規則
4,096
4,096
4,096
4,096
L2VPN 用戶端中心到輻射
5
5
5
5
每個客戶端/伺服器的 L2VPN 網路
200
200
200
200
IPSec 隧道
512
1,600
4,096
6,000
SSLVPN 隧道
50
100
100
1,000
SSLVPN 專用網路
16
16
16
16
同期會議
64,000
1,000,000
1,000,000
1,000,000
會話/秒
8,000
50,000
50,000
50,000
LB 吞吐量 L7 代理程式)
2.2Gbps
2.2Gbps
3Gbps
LB 吞吐量 L4 模式)
6Gbps
6Gbps
6Gbps
LB 連線數(L7 代理程式)
46,000
50,000
50,000
LB並發連線數(L7代理程式)
8,000
60,000
60,000
LB 連線數/秒(L4 模式)
50,000
50,000
50,000
LB並發連線數(L4模式)
600,000
1,000,000
1,000,000
BGP 路由
20,000
50,000
250,000
250,000
BGP 鄰居
10
20
100
100
BGP 路由重新分配
無極限
無極限
無極限
無極限
OSPF 路由
20,000
50,000
100,000
100,000
OSPF LSA 條目最大 750 Type-1
20,000
50,000
100,000
100,000
OSPF 鄰接關係
10
20
40
40
OSPF路由重分配
2000
5000
20,000
20,000
總路線
20,000
50,000
250,000
250,000
→
表顯示,建議僅從大尺寸開始為高效場景在 NSX Edge 上組織平衡。
這就是我今天的全部內容。 在以下部分中,我將詳細介紹如何設定每個 NSX Edge 網路服務。
來源: www.habr.com