Vmware NSX mikrosegmentacja wprowadzenie

W poprzednich wpisach mówiłem w wdrożeniu samego NSX i jego funkcjonalności, ale przyszedł czas na słynną mikrosegmentacja.

Co to jest mikrosegmentacja?

Zacznijmy od podstaw, na chwilę obecną mikrosgmentację realizujemy przez tworzenie wielu vlanów per app czy funkcja a ruch pomiędzy vlanami filtrujemy za pomocą ACL’ek czy reguł FW, takim przypadku jest ciężko blokować ruch  w tym samym vlanie tzw. ruch wschód-zachód. W środowisku czysto fizycznym mogliśmy kombinować np. private vlan.

Dziś mamy coraz częściej wyłącznie środowisko wirtualne. Tutaj przychodzi z pomocą nam rozwiązanie NSX. Sam NSX pozwala na stworzenie reguł firewall które pozwolą na bardzo szczegółowe filtrowanie ruchu nawet w tym samym segmencie sieciowym (ten sam vlan lub vxlan). Reguły te są „przypisywane” do karty sieciowej wirtualnej maszyny, reguły wędrują za nią podczas wykonywania vmontion.

Sam NSX daje nam firewalla warstwy 4, jeżeli chcemy filtrować w warstwie 7 musimy sięgnąć po rozwiązania firm trzecich które integrują się z NSX’em, są to min.:

  • PaloAlto
  • Fortinet
  • Trend Micro

Tyle torii teraz trochę praktyki.

Będziemy pracować na architekturze z wpisu o load balncerze

gdzie zadaniem będzie blokowanie ruchu pomiędzy dwoma hostami w tym samej sieci VNI10001.

Tworzenie reguł pokaże na dwa sposoby:

  • Budowanie ręczne polityk – dzisiejszy wpis będzie poświęcony temu.
  • użycie funkcji Service Composer

Sprawdzenie komunikacji przed wdrożenie polityk

Poniżej przedstawiam testy, przed implementacją reguł firewall.

połączenie SSH

z hosta 172.16.11.11 na 172.16.11.12

z hosta 172.16.11.12 na 172.16.11.11

Ping

 

NETCAT

 

Ręcznie tworzenie polityk

Logujemy się do naszego vcenter i przechodzimy do Networking & Security

następnie do sekcji Firewall

tutaj tworzymy nową sekcję klikając na katalog z zielonym plusem. Jest to pomocne do utrzymania porządku w regułach.

w nowym oknie nadajemy nazwę sekcji

następnie dodajemy regułę w tej sekcji przez kliknięcie zielonego plusa. Pojawi się nowa reguła w której uzupełnimy ją o obiekty oraz ustawienia.

do tworzenia reguł możemy korzystać z wielu możliwości:

  • IP
  • Virtual Machine
  • IP SET
  • Cluster
  • Datacenter
  • vNIC
  • i jeszcze kilka możliwości

wybieramy co będzie Source – w naszym przypadku będą to wirtualne maszyny, wybieram obiekty z vCenter

podobnie jak wyżej w polu Destination wybieramy też nasze maszyny

w polu Service zostawiamy ANT, a w polu Action dajemy zgodnie:

ważne aby dać logowanie aby było można zobaczyć logi w syslogu, warto również o tagować te wpisy dla łatwiejszego wyszukiwania.

po zakończeniu tworzenie reguły publikujemy ją klikając Publish Changes

Weryfikacja

Sprawdzamy połączenia SSH

Ping

Logi

Sprawdzamy logi wykorzystując Vmware log insight który opisałem w tym wpisie o integracji z NSX’em

filtrujemy po id reguły którą stworzyliśmy

lub po wcześniej ustawionym tagu

w kolejnym wpisie poruszę temat Service Composer.