前序:上一篇文章介绍了NSX防火墙的原理、意义以及功能上的优势,今天继续上次的内容进行讲解,尤其是NSX防火墙微分段技术的实现。
上面提到了微分段技术的实质就是将NSX分布式防火墙布置到每一台虚拟机上,再往深了说,每个分布式防火墙实例时基于每台虚拟机的vNIC创建的。说简单点,一个虚拟机如果有三台vNIC,那么就应该有三台NSX分布式防火墙实例被关联到这个虚拟机才可以。还有一点要知道,再NSX网络虚拟化环境下,分布式防火墙再虚拟机创建时就已经生成了。如果虚拟机不需要分布式防火墙服务时,就可以将其添加到“排除列表”,为什么会有这样一种选择呢?太多的理由我也不太清楚,但是有一点原因我是清楚的,那就是在默认情况下,NSX Manager、NSX Controller、NSX Edge服务网关是在排除列表的。由于NSX分布式防火墙是运行在虚拟机的vNIC层面,所以不论虚拟机采用何种方式连接到逻辑网络(基于VLAN的port-group的连接VDS方式或基于VXLAN的port-group的连接分布式逻辑交换机方式),都不会避开分布式防火墙的防护,这便是其优势所在。
一、NSX分布式防火墙的相关组件
之前已经提到过NSX分布式防火墙通过vsfwd服务进程直接与NSX Manager通信,所以在这里讲一讲NSX分布式防火墙的管理平面、控制平面与数据平面的组件:
**vCenter Server:**在NSX分布式防火墙的部署中,将vCenter作为其管理平面,通过vSphere Web Client创建分布式防火墙策略规则,之后,每一份vCenter中的集群、VDS port-group、逻辑交换机、虚拟机、vNIC、资源池等就都可以使用这些基于源和目的策略规则。
**NSX Manager:*在NSX分布式防火墙的部署中,将NSX Manager作为其管理平面与控制平面。NSX Manager接收到来自vCenter的策略规则之后,就会将他们存储到本地的数据库并将这些分布式防火墙策略同步(使用TCP的5671端口
)到ESXI 主机,在这个过程中,如果防火墙策略规则发生变动,系统会实时同步发布和推送。
ESXI主机:在NSX分布式防火墙的部署中,将ESXI主机作为其数据平面。ESXI主机会将来自于NSX Manager的防火墙策略规则进行翻译,运用到内核空间,以便实时执行策略。这样,所有的虚拟机流量都会在ESXI主机处进行检查和执行。
上面的内容其实很简单,举个例子,比如虚拟机1的流量要到达位于不同主机的虚拟机2,那么在虚拟机1的流量到达ESXI1主机是会被防火墙规则进行处理,之后在到达ESXI2主机时,也会被防火墙规则进行处理,最后才会到达虚拟机2.
二、微分段技术的实现
NSX分布式防火墙是通过ESXI主机的VMKernel处启用VIB内核模块来实现的。它在部署完成之后,就会通过NSX Manager发布到每台主机。分布式防火墙的策略规则是在流量被VTEP封装之前和解封装之后在vNIC端执行的。看图说话:
从上图可以看出:一旦部署了防火墙策略,防火墙进程就会对源自虚拟机的出流量和抵达虚拟机的入流量进行检查,没有流量可以无视防火墙的检查,这个时候是无需关心虚拟机的连接方式的,因为分布式防火墙的策略是基于vNIC的。
提到微分段,就不可避免的要提到“安全组”这个概念,在NSX中有个功能叫Service Composer,这个功能可以将角色类似的一组虚拟机划入一个组织,而在Service Composer功能中还有一个重要的功能叫安全组(SG),安全组允许动态或静态的将对象加入到一个“容器”中,而这个容器会作为分布式防火墙策略规则的源和目的的目标。
NSX 分布式防火墙很智能很灵活,管理员可以根据虚拟机名字、虚机的操作系统、虚机属性来定义安全组,规定只有同一安全组的虚机才可以相互访问,这些虚机就像连接在同一个物理网段上,这个虚拟的网段称之为“微分段(Micro Segementation)”。实际上,这些虚机可能是分布在不同物理服务器上的,这些物理服务器可能位于不同的物理网段,微分段在虚拟网络上把这些虚机与其他网络相隔离。
我们可以利用微分段在数据中心内部对虚机进行隔离,把不同业务部门的虚拟服务器分隔在不同的微分段里,在虚拟网络层面上,跨微分段的访问是绝对不可能发生的。在同一微分段内部,我们还可以根据业务需要在虚机之间设立防火墙,确保虚机之间只有进行必须的网络通信,从而最大限度地提高了虚拟服务器的安全性。
上图就是创建了6个安全组:3个供财务(FIN)部门使用,3个供人力资源(hr)部门使用,在各个层级内部,各个相同的组织处于同一层的服务器可以相互ping对方,比如,Fin-web-01可以ping Fin-web-02,但是Fin-web-01不能ping HR-web-01,z这就是前面说的“跨微分段的访问是绝对不可能发生的”
以上图为例,谈谈各个层级之间的网络流量的流通:从Internet到Web服务器,允许HTTP和HTTPS的流量,其余流量全部丢弃(南北向流量);从Web到App层,放行TCP的1234端口的流量和SSH流量;其余流量全部丢弃(东西向流量);从APP到数据库层,允许MySQL流量,其余流量全部丢掉(东西向流量)。
三、总结
关于微分段的学习今天就到这里,欲知后事如何,且听下回分解。
