作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。

我想會看本系列網誌的朋友,應該沒有人不熟悉分散式防火牆吧~ NSX從2014年開始在台灣推廣,微分段可以說是所有客戶都一定會使用的功能。而在NSX-T內,當然也具備這個方案,而且更推廣到所有受NSX-T管控的虛機、容器、vSphere與KVM、私有雲公有雲環境內都能運作。

NSX-T內的分散式防火牆的設定方式和NSX for vSphere內的分散式防火牆,或是NSX-T內的Edge Firewall配置介面幾乎相同。在前一篇有針對各個rule的欄位略作說明,這篇網誌內,我們改把重點放在NSX-T內的微分段,與NSX for vSphere的微分段架構與功能上有什麼不同,如果各位朋友之前有配置過微分段的經驗,到NSX-T的環境上必定很容易上手。

NSX-T Distributed Firewall的架構為何?

首先下圖內我們看到NSX-T內的分散式防火牆架構:

 

 

上圖雖然是對應到vSphere環境,但是KVM的環境也差不多,就不重複貼出來。各位有沒有看到一個非常重要的要點:在NSX-T內的分散式防火牆,一定要有Controller、一定要有Controller、一定要有Controller(超級重要所以寫三遍)。

之前我們或是經銷夥伴在客戶端做NSX for vSphere的純微分段PoC時,只要NSX Manager裝一裝,Host Preparation做完,搞定,可以開始測功能了。但在NSX-T內,環境內除了NSX Manager,NSX Controller也一定要裝才能正常運作。

其次,請大家看上面圖內,虛機(或是容器)是接在哪邊呢?N-VDS上。前面的網誌我們和大家說明過,N-VDS就是NSX-T部署在受控管的Transport Node上面,受NSX-T直接管理的虛擬交換器。

這邊代表的是,一個虛機(或是容器)要能夠受NSX-T的微分段防火牆管理,虛機一定要接在由NSX-T建立的邏輯交換器 Logical Switch上。這個邏輯交換器可以是Overlay (Geneve) Type,當然也可以是Vlan-Based Type,用戶沒有規定要建立Overlay網路才能使用。但如果虛機是接在一個VSS / VDS所建立的Port Group上,是不會受到NSX-T Distributed Firewall管理的。

所以如果要使用NSX-T Distributed Firewall的功能,用戶需要做哪些安裝作業?

從上面討論,即使用戶環境不使用NSX-T的全功能,只要驗證微分段,此時在環境內我們至少需要:

  • 完整安裝NSX Manager與NSX Controller。
  • 建立邏輯交換器。如果客戶沒有要使用Overlay網路,管理者可以建立多個Vlan-Based Logical Switch,對應到現有的傳統Vlan-Based Port Group。當然如果使用的是Overlay-Type Logical Switch,微分段運作絕對是正常
  • 由vCenter介面或是NSX API,把要受NSX-T控管的虛機,網卡由原先的VSS / VDS Port Group上,改接到新的Vlan-Based Logical Switch

上面的步驟缺一不可。以安裝的角度,建置的步驟變多了,但以管理與架構的角度,這樣的設計我認為更為明確且易於維護

那目前NSX-T與NSX for vSphere的Distributed Firewall功能間,有什麼差異?

以寫作當時的NSX-T 2.3版,我要列出NSX-T微分段功能的優勢與劣勢。但請大家要知道的,NSX-T目前還是一個快速開發的產品,幾乎1~2季就會有新版本新功能發布。因此若有需求的功能,請各位務必要查詢最新版本的release note確認。

首先談NSX-T微分段功能與V版本間的優勢:

  • 如前所述,NSX-T的微分段功能可以適用在vSphere / KVM、虛機與K8S Pod、私有雲環境及公有雲環境。管理者可以在一個網路介面,進行整個SDDC環境甚至跨公有雲的安全管理
  • 在NSX-T內大家會發現,每條規則後已經具備了統計功能,若一條規則比對符合,網路流相關的流量、session數等能夠顯示出來。請各位理解,NSX-T是分散式的網路系統,不是一台Appliance,所以這邊的值必須要由多個不同的Transport Node上各自收集,能做出來我個人是覺得很棒的。但也同樣地,無法做到即時顯示,當大家要在UI上看流量統計,請有耐心稍等一點時間。
  • 以前當我們在V版修改任何規則,會在UI最上面有Publish動作,此時NSX Manager會針對『所有的規則』進行運算,要如何派送到各台vSphere Host上。但在T版內大家會發現,每個Section內的規則異動後,每個Section是各自進行Publish。這代表的是NSX-T內的防火牆運作是一個真正的多用戶系統,當有不同的租戶或部門使用這個環境時,不需要任一用戶做了任何變更,整個環境的所有防火牆規則都需要進行運算及派送,效率上大幅優化

接著是NSX-T微分段功能與V版本間的劣勢,或是說在2.3版時還沒有做出來的功能:

  • 目前還沒有七層的Context-Aware-Firewall。有可能在各位看到本文時,這個功能已經在新版本可以使用了
  • 前篇內我們有談到NSX-T內有做南北向防火牆的3rd-party integration,但反過來,東西向防火牆的第三方整合,比如說NSX for vSphere內與Palo-Alto Network / Checkpoint / Trend-Micro等做的整合,目前還沒有做,但會於後續版本內提供此功能
  • 在V版內,Distributed Firewall有任何異動,規則備份與還原的機制做的很完整。但現在於T版內這邊還沒有做出來
  • V版內的防火牆規則Filter功能在T版內也還不完整
  • 上面列出的點,隨著NSX-T的新版本會功能逐步補足,但接下來這是架構上的差異, T版的微分段以後也應該不會做:就是在防火牆來源、目的地的虛機選擇時,在V版內可以使用非常多種的方式如名稱、作業系統、Security Tag、或是虛機在哪個Cluster哪個Resource Pool等等的環境參數來選擇。但在NSX-T內,因為要支援多種不同的環境,除了IP與IPSet外,我們只會使用名稱、Tag、邏輯交換器這三種不同的方法,來進行動態防火牆政策配置

這裡的最後一點需要詳細的討論,先點到為止。我們在下一篇內和大家說明NSX-T內的NSGroup / Tag等配置與運作機制。