**這位爺,馬已經給您備好了,喂的是上好的草料,小老闆祝您一路順風,歡迎您再次光臨本店**
前序:上一篇文章介紹了NSX防火牆的原理、意義以及功能上的優勢,今天繼續上次的內容進行講解,尤其是NSX防火牆微分段技術的實現。
上面提到了微分段技術的實質就是將NSX分佈式防火牆佈置到每一臺虛擬機上,再往深了說,每個分佈式防火牆實例是基於每臺虛擬機的vNIC創建的。說簡單點,一個虛擬機如果有三臺vNIC,那麼就應該有三臺NSX分佈式防火牆實例被關聯到這個虛擬機纔可以。還有一點要知道,在NSX網絡虛擬化環境下,分佈式防火牆在虛擬機創建時就已經生成了。如果虛擬機不需要分佈式防火牆服務時,就可以將其添加到“排除列表”,爲什麼會有這樣一種選擇呢?太多的理由我也不太清楚,但是有一點原因我是清楚的,那就是在默認情況下,NSX Manager、NSX Controller、NSX Edge服務網關是在排除列表的。由於NSX分佈式防火牆是運行在虛擬機的vNIC層面,所以不論虛擬機採用何種方式連接到邏輯網絡(基於VLAN的port-g
roup的連接VDS方式或基於VXLAN的port-group的連接分佈式邏輯交換機方式),都不會避開分佈式防火牆的防護,這便是其優勢所在。
一、NSX分佈式防火牆的相關組件
之前已經提到過NSX分佈式防火牆通過vsfwd服務進程直接與NSX Manager通信,所以在這裏講一講NSX分佈式防火牆的管理平面、控制平面與數據平面的組件:
**vCenter Server:**在NSX分佈式防火牆的部署中,將vCenter作爲其管理平面,通過vSphere Web Client創建分佈式防火牆策略規則,之後,每一份vCenter中的集羣、VDS port-group、邏輯交換機、虛擬機、vNIC、資源池等就都可以使用這些基於源和目的策略規則。
**NSX Manager:*在NSX分佈式防火牆的部署中,將NSX Manager作爲其管理平面與控制平面。NSX Manager接收到來自vCenter的策略規則之後,就會將他們存儲到本地的數據庫並將這些分佈式防火牆策略同步(使用TCP的5671端口
)到ESXI 主機,在這個過程中,如果防火牆策略規則發生變動,系統會實時同步發佈和推送。
ESXI主機:在NSX分佈式防火牆的部署中,將ESXI主機作爲其數據平面。ESXI主機會將來自於NSX Manager的防火牆策略規則進行翻譯,運用到內核空間,以便實時執行策略。這樣,所有的虛擬機流量都會在ESXI主機處進行檢查和執行。
上面的內容其實很簡單,舉個例子,比如虛擬機1的流量要到達位於不同主機的虛擬機2,那麼在虛擬機1的流量到達ESXI1主機是會被防火牆規則進行處理,之後在到達ESXI2主機時,也會被防火牆規則進行處理,最後纔會到達虛擬機2.
二、微分段技術的實現
NSX分佈式防火牆是通過ESXI主機的VMKernel處啓用VIB內核模塊來實現的。它在部署完成之後,就會通過NSX Manager發佈到每臺主機。分佈式防火牆的策略規則是在流量被VTEP封裝之前和解封裝之後在vNIC端執行的。看圖說話:
從上圖可以看出:一旦部署了防火牆策略,防火牆進程就會對源自虛擬機的出流量和抵達虛擬機的入流量進行檢查,沒有流量可以無視防火牆的檢查,這個時候是無需關心虛擬機的連接方式的,因爲分佈式防火牆的策略是基於vNIC的。
提到微分段,就不可避免的要提到“安全組”這個概念,在NSX中有個功能叫Service Composer,這個功能可以將角色類似的一組虛擬機劃入一個組織,而在Service Composer功能中還有一個重要的功能叫安全組(SG),安全組允許動態或靜態的將對象加入到一個“容器”中,而這個容器會作爲分佈式防火牆策略規則的源和目的的目標。
NSX 分佈式防火牆很智能很靈活,管理員可以根據虛擬機名字、虛機的操作系統、虛機屬性來定義安全組,規定只有同一安全組的虛機纔可以相互訪問,這些虛機就像連接在同一個物理網段上,這個虛擬的網段稱之爲“微分段(Micro Segementation)”。實際上,這些虛機可能是分佈在不同物理服務器上的,這些物理服務器可能位於不同的物理網段,微分段在虛擬網絡上把這些虛機與其他網絡相隔離。
我們可以利用微分段在數據中心內部對虛機進行隔離,把不同業務部門的虛擬服務器分隔在不同的微分段裏,在虛擬網絡層面上,跨微分段的訪問是絕對不可能發生的。在同一微分段內部,我們還可以根據業務需要在虛機之間設立防火牆,確保虛機之間只有進行必須的網絡通信,從而最大限度地提高了虛擬服務器的安全性。
上圖就是創建了6個安全組:3個供財務(FIN)部門使用,3個供人力資源(hr)部門使用,在各個層級內部,各個相同的組織處於同一層的服務器可以相互ping對方,比如,Fin-web-01可以ping Fin-web-02,但是Fin-web-01不能ping HR-web-01,z這就是前面說的“跨微分段的訪問是絕對不可能發生的”
以上圖爲例,談談各個層級之間的網絡流量的流通:從Internet到Web服務器,允許HTTP和HTTPS的流量,其餘流量全部丟棄(南北向流量);從Web到App層,放行TCP的1234端口的流量和SSH流量;其餘流量全部丟棄(東西向流量);從APP到數據庫層,允許MySQL流量,其餘流量全部丟掉(東西向流量)。
三、總結
關於微分段的學習今天就到這裏,欲知後事如何,且聽下回分解。
各位客官,小店今日因爲有事提前打烊,所以還望各位朋友見諒,咱們明天見。
