前文:記事の利点を意味し、機能、ファイアウォール原則NSXを紹介するには、NSXのファイアウォール技術を実現するために、今日は特にマイクロセグメントの最後の内容を説明するために続けています。
上記マイクロセグメンテーション技術の本質はNSXがファイアウォールそれぞれがファイアウォールのインスタンスを分散する際のvNICが作成した仮想マシンごとに、言って深いダウンし、各仮想マシン上に配置され配布されます。仮想マシンは、ファイアウォールのインスタンスがあることを仮想マシンに関連付けられている分散次の3つのvNICを持っている場合は、次の3つのNSXがあるはずです、単に言いました。もう一つのポイントは知っているし、次のNSXネットワーク仮想化環境、分散ファイアウォールをして、仮想マシンが生成した作成します。仮想マシンが分散ファイアウォールサービスを必要としない場合は、「除外リスト」に追加することができ、なぜそのような選択はありますか?私は知らないが、一つのことがある理由は、私には明らかである、あまりにも多くの理由は、デフォルトでは、NSXマネージャー、NSXコントローラは、NSXエッジサービスゲートウェイは、除外リストにあります。vNIC NSXは、ファイアウォールに関係なく、仮想マシンが論理ネットワークに接続されている方法の(VLANベースのポートグループまたはポートグループベースVXLANの実施形態VDS接続は論理スイッチの接続を分散ように、仮想マシン・レベルで実行されている分散以来道)、その長所である分散ファイアウォール保護を、避けられないだろう。
まず、NSXは、ファイアウォールが分散し、関連するコンポーネント
以前vsfwd NSXで言及されているので、ここでNSXの話は、ファイアウォール管理プレーン、コントロールプレーンとデータプレーンのコンポーネントを分散し、NSXマネージャーと直接通信するため、ファイアウォールサービスプロセスを分散しました:
** vCenter Serverの:** NSXで、その後、各vCenterクラスタで、VDSポートグループ、ロジックは、vSphere Web Clientのを通じて配布ファイアウォールポリシールールを作成すると、vCenterの管理プレーンとして、ファイアウォールの展開を分散スイッチは、仮想マシンのvNICは、リソースプールは、ソースおよび宛先に基づいて、これらのポリシールールに使用することができます。
** NSXマネージャー:*NSXは、その管理と制御プレーンとファイアウォールの展開、NSXマネージャーを配布しました。NSXマネージャーがvCenterからのポリシールールを受け取った後、それがローカルデータベースと(TCP 5671ポートを使用して分散型ファイアウォールポリシーの同期にそれらを保存する
ファイアウォールポリシールールが変更された場合、このプロセスでは、ESXiホストへ) 、システムのリアルタイム同期とプッシュリリース。
ESXiホスト:NSXは、ホストのESXiプレーンへのデータとして、ファイアウォールの展開を配布しました。ESXiホストがファイアウォールポリシーが翻訳しNSXマネージャーをルールから来る、リアルタイム戦略を実行するために、カーネル空間に適用されます。このように、すべての仮想マシントラフィックがホストで確認およびESXiを実行されます。
上記コンテンツは、仮想マシンに到達するために、仮想マシントラフィック1として、例えば、実際には非常に簡単であり、仮想マシン1に達するESXI1ホストの流れがESXI2ホストに到達した後、ファイアウォールのルールを処理する、別のホスト2であります、ファイアウォールのルールは前に最終的には、仮想マシン2に達し、処理される
第二を、達成するためのマイクロセグメンテーション技術
NSXは、ファイアウォールが達成するためにESXiホストでのVMKernelカーネルモジュールVIBで有効になって配布さ。展開が完了したら、それはNSX Managerによって、各ホストに掲載されます。トラフィックがVTEPのvNICの終了前に、パッケージで実行された後に和解パッケージにファイアウォールポリシールールを配布しました。絵トーク:
としては、図から見ることができます:ファイアウォールポリシーの展開後は、ファイアウォールは仮想マシンと仮想マシンからのトラフィックのフローに処理します到着チェック、トラフィックがインスペクションファイアウォールを無視することはできません、これは時間であります接続の仮想マシンを気にせずに、分散型ファイアウォール戦略はのvNICに基づいているため。
マイクロセグメントを述べ、それが「セキュリティグループ」という概念は、NSXでサービス作曲と呼ばれる機能があり言及することは避けられない、この機能は、サービスの作曲で組織に割り当てられた仮想マシンのセットと同様の役割、および機能をすることができ呼ばれる重要な機能もありますセキュリティグループ(SG) 、動的または静的オブジェクトを可能にするセキュリティグループは、容器は、分散ファイアウォールポリシールールの送信元と宛先を標的とするれた「コンテナ」に追加されます。
NSXは、管理者が仮想マシン名、オペレーティングシステムは、仮想マシンの仮想マシンはセキュリティグループ、定義する属性ができ、ファイアウォールは非常に柔軟で非常にインテリジェントである分散各仮想マシンにアクセスできるだけ同じセキュリティグループを提供し、仮想マシンは、これらの接続のようなものです同じ物理セグメントに、仮想ネットワークは、いわゆる「マイクロセグメント(マイクロSegementation)」。実際には、これらの仮想マシンは、これらのサーバは、物理的に異なる物理的ネットワークセグメント、仮想マシン内のマイクロセグメントを単離し、これらの他のネットワークへの仮想ネットワークに配置することができる、異なる物理サーバ上に分散されてもよいです。
私たちは、さまざまなビジネスユニットは、仮想ネットワークレベルでは、異なるマイクロセグメントでの仮想サーバーを分離し、データセンター内の分離株の仮想マシンにマイクロセグメンテーションを使用することができますアクセスのマイクロセグメンテーション渡って絶対に起こるだろうされていません。同じマイクロセグメンテーションの内部では、我々はまた、ビジネスは、仮想マシン間にファイアウォールを必要と設定することができ、唯一の仮想サーバーの安全性を最大化するために、仮想マシン間で必要なネットワーク通信を行っていることを確認してください。
図は、6つのセキュリティグループを作成することです:・ファイナンスのための3つ(FIN)部門、人事のための3つの(時間)部門は、各レベル内で、同じレベルのサーバで同じ組織のそれぞれがお互いにお互いにpingを実行することができ、例えば、フィンウェブ01は、フィンウェブ02にpingを実行することができるが、フィンウェブ01のping HR-ウェブ01、先に言われているZ「マイクロセグメントへの相互アクセスが絶対に発生するつもりはない、」できない
チャート上例えば、すべてのレベル間のネットワークトラフィックのフローについての話:インターネットからWebサーバーに、HTTPおよびHTTPSトラフィックを許可するが、トラフィックはすべての残りの部分は、(南北交通を)破棄され、ウェブからアプリケーション層、離型TCPポート1234へおよびSSHトラフィックフローを、破棄し、残りのすべてのトラフィック(東西流速);データベースのAPP層からMySQLを流しできるようにするには、残りのすべての流れ(流量物事を)失いました。
第三に、要約
マイクロここセグメント今日、どのように葬儀、レッツ・聞く次回の分解に関する研究。
