VMware NSX für die Kleinsten. Teil 1



    Wenn Sie sich die Konfiguration einer Firewall ansehen, wird höchstwahrscheinlich ein Blatt mit einer Reihe von IP-Adressen, Ports, Protokollen und Subnetzen angezeigt. So werden Netzwerksicherheitsrichtlinien für den Benutzerzugriff auf Ressourcen klassisch implementiert. Zuerst versuchen sie, die Reihenfolge in der Konfiguration beizubehalten, aber dann bewegen sich die Mitarbeiter von Abteilung zu Abteilung, Server werden mehrfach und ändern ihre Rollen. Der Zugriff für verschiedene Projekte wird dort angezeigt, wo sie normalerweise nicht sein können.

    Wenn Sie Glück haben, gibt es einige Regeln, in denen Kommentare formuliert werden: „Ich habe Vasya darum gebeten“ oder „Dies ist eine Passage in der DMZ“. Der Netzwerkadministrator wird beendet, und alles wird völlig unverständlich. Dann entschied jemand, die Konfiguration von Vasya zu säubern, und SAP fiel aus, weil Vasya einmal nach diesem Zugriff für den Kampf gegen SAP gefragt hatte.



    Heute werde ich über die Lösung von VMware NSX sprechen, mit der Punkt-zu-Punkt-Richtlinien für Netzwerkinteraktion und Sicherheit ohne Verwirrung in den Firewall-Konfigurationen angewendet werden können. Ich werde Ihnen zeigen, welche neuen Funktionen im Vergleich zu den zuvor in diesem Abschnitt verwendeten Funktionen von VMware angezeigt wurden.

    VMWare NSX ist eine Plattform zur Virtualisierung und Sicherung von Netzwerkdiensten. NSX löst Probleme beim Routing, Switching, Lastausgleich, Firewall und kann viele andere interessante Dinge erledigen.

    NSX ist der Nachfolger des VMware-eigenen Produkts vCloud Networking and Security (vCNS), das von Nicira NVP erworben wurde.

    Von vCNS zu NSX


    Zuvor hatte ein Client in einer Cloud, der auf VMware vCloud aufgebaut war, eine separate virtuelle vCNS vShield Edge-Maschine. Es diente als Edge-Gateway, wo Sie viele Netzwerkfunktionen konfigurieren konnten: NAT, DHCP, Firewall, VPN, Load Balancer usw. vShield Edge beschränkte die Interaktion der virtuellen Maschine mit der Außenwelt gemäß den in Firewall und NAT festgelegten Regeln. Innerhalb des Netzwerks kommunizierten virtuelle Maschinen innerhalb von Subnetzen frei miteinander. Wenn Sie den Verkehr wirklich trennen und erobern möchten, können Sie ein separates Netzwerk für einzelne Teile von Anwendungen (verschiedene virtuelle Maschinen) erstellen und die entsprechenden Regeln entsprechend ihrer Netzwerkinteraktion in die Firewall schreiben. Es ist jedoch lang, schwierig und uninteressant, besonders wenn Sie mehrere virtuelle Maschinen haben.

    In NSX implementierte VMware das Konzept der Mikrosegmentierung mithilfe einer verteilten Firewall (verteilte Firewall), die in den Hypervisor-Kern eingebettet ist. Es enthält Sicherheits- und Netzwerkrichtlinien nicht nur für IP- und MAC-Adressen, sondern auch für andere Objekte: virtuelle Maschinen, Anwendungen. Wenn NSX innerhalb einer Organisation bereitgestellt wird, können ein Benutzer oder eine Gruppe von Benutzern aus Active Directory zu solchen Objekten werden. Jedes dieser Objekte wird in seiner Sicherheitsschleife, im erforderlichen Subnetz mit seiner gemütlichen DMZ, zu einem Mikrosegment :).


    Früher war der Sicherheitsbereich der gesamte Ressourcenpool, der durch einen Grenzschalter geschützt wurde. Mit dem NSX können Sie eine separate virtuelle Maschine auch innerhalb desselben Netzwerks vor unnötigen Interaktionen schützen.

    Sicherheits- und Netzwerkrichtlinien werden angepasst, wenn das Objekt in ein anderes Netzwerk verschoben wird. Wenn wir beispielsweise eine Maschine mit einer Datenbank in ein anderes Netzwerksegment oder sogar in ein anderes virtuelles Rechenzentrum verschieben, gelten die für diese virtuelle Maschine festgelegten Regeln unabhängig von ihrer neuen Position weiter. Der Anwendungsserver kann weiterhin mit der Datenbank interagieren.

    Das vCNS vShield Edge-Border-Gateway selbst wurde durch NSX Edge ersetzt. Er hat eine ganze Reihe von alten Edges sowie einige neue nützliche Funktionen. Über sie und wird weiter besprochen.

    Was ist neu in NSX Edge?


    Die Funktionalität des NSX Edge hängt von der Edition des NSX ab. Es gibt fünf davon: Standard, Professional, Advanced, Enterprise und Plus Remote Branch Office. Alles neu und interessant kann nur seit Advanced gesehen werden. Einschließlich der neuen Benutzeroberfläche, die bis zum vollständigen Übergang von vCloud zu HTML5 (VMware verspricht den Sommer 2019) in einem neuen Tab geöffnet wird.

    Firewall Sie können IP-Adressen, Netzwerke, Gateway-Schnittstellen und virtuelle Maschinen als Objekte auswählen, auf die die Regeln angewendet werden.





    DHCP. Neben dem Konfigurieren des IP-Adressbereichs, der automatisch an die virtuellen Maschinen dieses Netzwerks vergeben wird, sind jetzt die Bindungs- und Relay- Funktionen in NSX Edge verfügbar .

    In der Registerkarte BindungenSie können die MAC-Adresse der virtuellen Maschine an die IP-Adresse binden, wenn die IP-Adresse nicht geändert werden soll. Die Hauptsache ist, dass diese IP-Adresse nicht im DHCP-Pool enthalten ist.



    Auf der Registerkarte Relay können Sie das Weiterleiten von DHCP-Nachrichten an DHCP-Server konfigurieren, die sich außerhalb Ihrer Organisation in vCloud Director befinden, einschließlich der DHCP-Server der physischen Infrastruktur.



    Routing Mit vShield Edge konnten Sie nur statisches Routing konfigurieren. Hier wurde dynamisches Routing mit Unterstützung für OSPF- und BGP-Protokolle angezeigt. ECMP-Einstellungen (Aktiv / Aktiv) sind ebenfalls verfügbar und daher Aktiv-Aktiv-Failover auf physische Router.


    OSPF


    konfigurieren BGP konfigurieren

    Eine weitere Neuerung - Einrichtung der Übertragung von Routen zwischen verschiedenen Protokollen, der
    Umverteilung von Routen (Routenumverteilung).



    L4 / L7 Load Balancer. Es wurde ein X-Forwarded-For für HTTP-Header angezeigt. Ohne ihn weinten alle. Beispielsweise haben Sie eine Website, die Sie abwägen. Ohne Weiterleiten dieses Headers funktioniert alles, aber in den Webserver-Statistiken wurde nicht die IP des Besuchers angezeigt, sondern die IP des Balancers. Nun war alles richtig.

    Auf der Registerkarte "Anwendungsregeln" können Sie jetzt auch Skripts hinzufügen, die die Verkehrsverteilung direkt steuern.



    VPN. Neben IPSec VPN unterstützt NSX Edge Folgendes:

    • L2-VPN, mit dem Sie das Netzwerk zwischen räumlich getrennten Standorten erweitern können. Ein solches VPN wird beispielsweise benötigt, damit sich die virtuelle Maschine beim Umzug an einen anderen Standort im selben Subnetz befindet und die IP-Adresse speichert.



    • SSL VPN Plus, mit dem Benutzer eine Remote-Verbindung zum Unternehmensnetzwerk herstellen können. Auf der vSphere-Ebene war dies eine Funktion, aber für vCloud Director ist dies eine Innovation.



    SSL-Zertifikate Sie können jetzt Zertifikate auf NSX Edge ablegen. Hier geht es wiederum um die Frage, wer einen Balancer ohne Zertifikat für https benötigte.



    Objekte gruppieren. Auf dieser Registerkarte werden Objektgruppen angegeben, auf die bestimmte Regeln für die Netzwerkinteraktion angewendet werden, z. B. Firewall-Regeln.

    Diese Objekte können IP- und MAC-Adressen sein.


     


    Es enthält auch eine Liste von Diensten (Protokoll-Port-Kombination) und Anwendungen, die beim Erstellen von Firewall-Regeln verwendet werden können. Neue Dienste und Anwendungen können nur vom Administrator des vCD-Portals hinzugefügt werden.


     


    Statistik Verbindungsstatistik: Datenverkehr, der das Gateway, die Firewall und den Balancer durchläuft.

    Status und Statistiken für jeden IPSEC-VPN- und L2-VPN-Tunnel.



    Protokollierung Auf der Registerkarte Edge-Einstellungen können Sie den Server für die Protokollierung festlegen. Die Protokollierung funktioniert für DNAT / SNAT, DHCP, Firewall, Routing, Balancer, IPsec VPN, SSL VPN Plus.
     
    Die folgenden Arten von Alerts sind für jedes Objekt / Service verfügbar:

    - Debug
    - Alert
    - Kritisch
    - Fehler
    - Warnung
    - Hinweis
    - Info



    NSX-Kantengrößen


    Abhängig von den Tasks und Volumes empfiehlt VMware die Erstellung des NSX Edge in den folgenden Größen:
    NSX Edge
    (kompakt)

    NSX Edge
    (Large)

    NSX Edge
    (Quad-Large)

    NSX Edge
    (X-Large)

    vCPU
    1
    2
    4
    6
    Speicher
    512 MB
    1 GB
    1 GB
    8 GB
    Diskette
    512 MB
    512 MB
    512 MB
    4,5 GB + 4 GB
    Zweck
    Eine
    Anwendung, das
    Testdatenzentrum
    Kleines
    oder mittleres
    Rechenzentrum
    Geladene
    Firewall
    Lastverteilung
    auf Stufe L7

    Die nachstehende Tabelle zeigt die Arbeitsmesswerte für Netzwerkdienste in Abhängigkeit von der Größe des NSX Edge.
    NSX Edge
    (kompakt)

    NSX Edge
    (Large)

    NSX Edge
    (Quad-Large)

    NSX Edge
    (X-Large)

    Schnittstellen
    10
    10
    10
    10
    Sub-Schnittstellen (Trunk)
    200
    200
    200
    200
    NAT-Regeln
    2.048
    4,096
    4,096
    8.192
    ARP-Einträge
    bis zum Überschreiben
    1.024
    2.048
    2.048
    2.048
    FW-Regeln
    2000
    2000
    2000
    2000
    FW Leistung
    3Gbps
    9,7 Gbit / s
    9,7 Gbit / s
    9,7 Gbit / s
    DHCP-Pools
    20.000
    20.000
    20.000
    20.000
    ECMP-Pfade
    8
    8
    8
    8
    Statische Routen
    2.048
    2.048
    2.048
    2.048
    Lb-Pools
    64
    64
    64
    1.024
    Virtuelle LB-Server
    64
    64
    64
    1.024
    LB Server / Pool
    32
    32
    32
    32
    Lb Gesundheitschecks
    320
    320
    320
    3,072
    LB-Anwendungsregeln
    4,096
    4,096
    4,096
    4,096
    Hub der L2VPN-Clients zum Sprechen
    5
    5
    5
    5
    L2VPN-Netzwerke pro Client / Server
    200
    200
    200
    200
    IPSec-Tunnel
    512
    1.600
    4,096
    6.000
    SSLVPN-Tunnel
    50
    100
    100
    1.000
    Private SSLVPN-Netzwerke
    16
    16
    16
    16
    Gleichzeitige Sitzungen
    64.000
    1.000.000
    1.000.000
    1.000.000
    Sitzungen / Sekunde
    8.000
    50.000
    50.000
    50.000
    LB Durchsatz L7 Proxy)
    2,2 Gbps
    2,2 Gbps
    3Gbps
    LB Durchsatz L4 Modus)
    6 Gbps
    6 Gbps
    6 Gbps
    LB-Verbindungen / s (L7-Proxy)
    46.000
    50.000
    50.000
    LB-gleichzeitige Verbindungen (L7-Proxy)
    8.000
    60.000
    60.000
    LB-Verbindungen / s (L4-Modus)
    50.000
    50.000
    50.000
    Parallele LB-Verbindungen (L4-Modus)
    600.000
    1.000.000
    1.000.000
    BGP-Routen
    20.000
    50.000
    250.000
    250.000
    BGP Nachbarn
    10
    20
    100
    100
    BGP-Routen wurden neu verteilt
    Kein Limit
    Kein Limit
    Kein Limit
    Kein Limit
    Ospf-Routen
    20.000
    50.000
    100.000
    100.000
    OSPF-LSA-Einträge max. 750 Typ-1
    20.000
    50.000
    100.000
    100.000
    OSPF-Nachbarschaften
    10
    20
    40
    40
    OSPF-Routen wurden neu verteilt
    2000
    5000
    20.000
    20.000
    Gesamtstrecken
    20.000
    50.000
    250.000
    250.000
    Quelle

    Aus der Tabelle ist ersichtlich, dass das Ausgleichen auf NSX Edge für produktive Szenarien nur von der Größe Groß organisiert wird.

    Heute habe ich alles. In den folgenden Abschnitten gehe ich durch die Details zum Konfigurieren der einzelnen NSX Edge-Netzwerkdienste.

    Jetzt auch beliebt: