VMWare NSX — платформа виртуализации и организации безопасности сетевых сервисов. NSX помогает настроить маршрутизацию, распределить нагрузку, управлять файрволом и решать другие задачи, с которыми постоянно сталкиваются системные администраторы.

Какие проблемы решает NSX

Распространенная ситуация — в конфигурации файрвола простыня адресов, портов, подсетей и протоколов. Первое время системный администратор поддерживает порядок и соблюдает логику. Возможно, даже оставляет комментарии для коллег и последователей. Затем беспорядка становится все больше. 

Меняются сотрудники, администратор увольняется, конфигурацию уже нельзя изменить без того, чтобы не уронить всю систему. С каждым днем клубок все больше запутывается.

Чтобы таких ситуаций стало меньше, компания VMware когда-то предложила CNS vShield Edge. Это отдельная виртуальная машина, которая работала как пограничный шлюз. В ней администратор настраивал большую часть сетевых функций. Для ограничений взаимодействия с внешней сетью использовались те же правила для файрвола и NAT.

Если очень хотелось разделять трафик, можно было создать отдельную сеть для разных ВМ и прописать правила сетевого взаимодействия в файрволе. Но это было не самой приятной задачей, особенно если инфраструктура состоит из нескольких десятков ВМ.

Взамен CNS vShield Edge появился другой инструмент — NSX VMWare. Его главная особенность — распределенный файрвол, встроенный в гипервизор. В нем можно прописать политики взаимодействия любого объекта: IP, MAC, виртуальной машины, приложения, устройства, подключенного через VMWare PCI. У каждого объекта появляется свой контур безопасности, доступный для гибкой настройки.

Основные возможности

Мы уже кратко описали одну возможность — это микросегментация сети. За ее реализацию отвечает распределенный файрвол. Он предназначен для точечного управления политиками безопасности ВМ и приложений.

Благодаря микросегментации вы не бомбите ограничениями по всей системе. К тому же она позволяет уменьшить риск горизонтального распространения угроз внутри ЦОД. Один скомпрометированный сегмент — не приговор.

Еще одна полезная возможность — удобное перемещение объектов сети. Допустим, можно взять ВМ с данными и перенести ее в другой сегмент или вообще в другой виртуальный дата-центр. Правила для этой виртуальной машины продолжат действовать безотносительно ее нового местоположения. Топология физической сети также не имеет значения. Главное, чтобы оставалась связь с предыдущим виртуальным дата-центром. 

Благодаря отсутствию ограничений сетей и средств безопасности исчезла привязка виртуальной среды к оборудованию. Это дает возможность увеличить эффективность использования ресурсов, в том числе значительно ускорить инициализацию сети. Убедиться в этом можно на практике, построив приватную облачную инфраструктуру на timeweb.cloud.

Архитектура NSX

Платформа VMWare NSX состоит из нескольких компонентов:

• Controller Cluster — система состоит из физических или виртуальных машин (минимум трех). Она предназначена для развертывания виртуальных сетей. Все машины работают в режиме высокой доступности и принимают команды через API. Кластер управляет vSwitches и Gateways. Эти компоненты реализуют виртуальные сети. Фактически Controller Cluster определяет топологию сети, анализирует трафик и решает, как конфигурировать сетевые компоненты.
• NSX Manager — инструмент, который помогает управлять виртуальными сетями через веб-консоль. Взаимодействует с Controller Cluster.
• Hypervisor vSwitches — виртуальные коммутаторы, которые занимаются трафиком виртуальных машин.
• Gateways — компоненты, через которые происходит сопряжение виртуальных и физических сетей.
• Ecosystem partners — компоненты, через которые партнеры могут интегрировать свои виртуальные модули.

Серверными гипервизорами в системе NSX могут быть VMware vSphere, KVM, Xen.

Особенности нулевого доверия

Платформа виртуализации сети NSX позволяет реализовать подход Zero Trust Security. Он эффективен для отражения атак злоумышленников на наименее защищенные части системы. Суть концепции можно описать в нескольких основных положениях:

• Нет доверенных сегментов и объектов — все части проверяются.
• Пользователям выдаются минимальные привилегии, а для доступа требуется явное разрешение.
• Организуется прозрачный и безопасный доступ к ресурсам вне зависимости от их размещения.
• Весь трафик находится под контролем и подвергается анализу.

Виртуализация приложений VMWare помогает создать сегменты безопасности для отдельных объектов, реализуя принципы нулевого доверия. Благодаря этому вся система получает высокий уровень защиты от несанкционированного доступа.

Сценарии применения

Виртуализация VMWare NSX применяется для решения разных задач. Рассмотрим несколько распространенных сценариев.

Безопасность ЦОД

Самое логичное применение — разделение ЦОД на большое количество сегментов безопасности со своими правилами. Конфигурация не зависит от того, в какой рабочей среде находится сегмент. При этом она основан на сценариях работы пользователей и приложений.

Микросегментация помогает администраторам сетей мгновенно обнаруживать угрозы и начинать работу по их нейтрализации. Такой подход также значительно снижает риск горизонтального распространения угроз. В этом главное отличие NSX от традиционных сетей. Даже если злоумышленник прорвется через защиту периметра, перемещаться горизонтально внутри ЦОД он не сможет.

Для обеспечения безопасности и контроля взаимодействия доступен целый ряд инструментов:

• Динамическая маршрутизация.
• Балансировщик нагрузки для равномерного распределения трафика.
• Распределенный файрвол.
• Интерфейс командной строки, средства мониторинга и устранения неисправностей для удобной эксплуатации.

Чтобы получать моментальные уведомления о проблемах в работе, можно также настроить VMWare Mail.

Автоматизация развертывания сетей и приложений

До появления NSX инициализация сетей выполнялась вручную. Это требовало много времени и ресурсов, а также приводило к многочисленным ошибкам. NSX устраняет эти проблемы на корню. Сети создаются программным образом, исключая «узкие места», связанные с физическими сетями.

С помощью виртуализации сетевых служб и служб безопасности можно автоматизировать и жизненный цикл приложений. Разработчики снимают с себя рутинные операции по развертыванию и эксплуатации. Это освобождает время для решения других задач — например, избавления от технического долга или внедрения новых фич в соответствии с потребностями бизнеса.

Перенос сервисов и приложений

Концепция VMware NSX обеспечивает разделение сети и физического оборудования. Политики безопасности связываются с конкретными рабочими нагрузками. Это позволяет переносить сервисы и приложения между ЦОД за считанные минуты, реплицировать данные на удаленные площадки, развертывать приложения без взаимодействия с физическим уровнем и без прерывания работы даже на короткий срок.