Hi!這裏是Tungsten Fabric架構解析內容的最後一篇,介紹TF基於應用程序的安全策略。
Tungsten Fabric架構解析系列文章,由TF中文社區爲你呈現,旨在幫助初入TF社區的朋友答疑解惑。我們將系統介紹TF有哪些特點、如何運作、如何收集/分析/部署、如何編排、如何連接到物理網絡等話題。
常規防火牆策略包含基於單個IP地址或子網範圍的規則。在任何規模的數據中心中,這都會導致防火牆規則的激增,這些規則在創建時難以管理,在故障排除時也難以理解。
這是因爲服務器或VM的IP地址與應用程序、應用程序所有者、位置或任何其他屬性無關。例如,考慮一個擁有兩個數據中心並在開發和生產中部署三層應用程序的企業,如下圖所示。
在該企業中,要求每層應用程序的每個實例只能與同一實例中的下一層實例通信。如圖所示,這需要針對每個應用程序實例的單獨的策略。 在解決問題時,管理員必須知道IP地址和應用程序實例之間的關係,並且每次部署新實例時,都必須編寫新的防火牆規則。
應用標籤
Tungsten Fabric控制器支持基於標籤的安全策略,可應用於項目、網絡、vRouters、VM和接口。
標籤在對象模型中,傳播到應用了標籤的對象中包含的所有對象,並且在包含層次結構的較低級別應用的標籤,優先於在較高級別應用的標籤。標籤具有名稱和值。許多標籤名稱作爲Tungsten Fabric發佈版本的一部分。
下表顯示了標籤類型的典型用途:
如表中所示,除了Tungsten Fabric提供的標籤類型之外,用戶還可以根據需要創建自己的自定義標籤名稱,並且有一個_label _type標籤,可用於更精細地調整數據流。
創建應用程序策略
應用程序策略包含基於標記值和服務組的規則,這些值是TCP或UDP端口號的集合。
首先,安全管理員爲應用程序堆棧分配類型爲_application _的標籤,併爲應用程序的每個軟件組件分配類型爲_tier _的標籤。如下圖所示。
在此示例中,應用程序被標記爲FinancePortal _,層被標記爲_web,app_和_db。Service組已爲進入應用程序堆棧以及每一層之間的流量創建。
然後,安全管理員創建一個名爲_Portal-3-Tier _containing規則的應用程序策略,該策略將僅允許所需的流量。
接下來,應用程序策略集與應用程序標記_FinancePortal關聯,幷包含應用程序策略_Portal-3-Tier。
此時,可以啓動應用程序堆棧,並將標籤應用於Tungsten Fabric控制器中的各個VM。這會導致控制器計算需要將哪些路由發送到每個vRouter以強制執行應用程序策略集,並將這些路由發送到每個vRouter。
如果每個軟件組件都有一個實例,則每個vRouter中的路由表如下:
網絡和虛擬機在這裏被命名爲它們所在的層。實際上,實體名稱和層之間的關係通常不會那麼簡單。 從表中可以看出,路由僅啓用應用策略中指定的流量,但此處基於標籤的規則已轉換爲vRouter能夠應用的基於網絡地址的防火牆規則。
控制部署之間的流量
成功創建應用程序堆棧之後,讓我們看一下創建堆棧的另一個部署時會發生什麼,如下所示。
原始策略中沒有任何內容阻止流量在一個部署中的層之間流動到另一個部署中的層。
可以通過以下方式來修改此行爲:使用_deployment _tag標記每個堆棧的每個組件,並在應用程序策略中添加_match _condition來允許流量僅在部署標籤匹配時纔在層之間流動。
更新後的政策如下所示:
現在,流量符合嚴格的要求,即流量僅在同一堆棧內的組件之間流動。
更高級的應用程序策略
通過應用不同類型的標籤,可以將安全策略應用於多個維度,所有這些都可以在單個策略中應用。
例如,在下圖中,單個策略可以根據站點對單個堆棧內的流量進行分段,但允許在站點內共享數據庫層。
如果在相同的站點和部署組合中部署了多個堆棧,則可以創建實例名稱的自定義標籤,並且可以使用實例標籤上的匹配條件來創建所需的限制,如下圖所示。
Tungsten Fabric中的應用程序策略功能提供了一個非常強大的實施框架,同時可以顯着簡化策略並減少其數量。
·END·
至此,Tungsten Fabric Carbide架構解析系列文章連載完畢,往期回顧——
第一篇:TF主要特點和用例
第二篇:TF怎麼運作
第三篇:詳解vRouter體系結構
第四篇:TF的服務鏈
第五篇:vRouter的部署選項
第六篇:TF如何收集、分析、部署?
第七篇:TF如何編排
第八篇:TF支持API一覽
第九篇:TF如何連接到物理網絡
關注微信:TF中文社區
