作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

會看本系列的各位,應該絕對知道NSX Data Center的核心功能之一:微分段吧。微分段的功能在台灣推廣數年,受到 VMware 客戶的廣大喜愛,也已經運作在許多中大型企業的生產環境內。在這幾年的部署經驗裡,通常實務使用上問題都不在技術面:微分段是非常高可用且穩定的功能。但真正常碰到的問題,尤其是在企業要實際部署微分段到現有生產環境 (Brownfield) 時,必須要考慮的:我們怎麼知道現在環境內的重要業務網路流有哪些?我們如何能在設定微分段安全規則時,不會去阻擋到正確的網路流,而導致影響業務正常運作呢?

 

這當然是 VMware 無論是專案服務團隊,或是我們的合作經銷商顧問,必須要能夠協助客戶解決的實際問題。接下來數篇網誌內,我想和大家討論這幾年在規劃 NSX 微分段方案部署時的方法論,以及相關的使用工具。VMware 的專業服務部門在眾多客戶都是採用這個方法成功地推動微分段方案上線,接下來我們與各位進行細部的分享。

 

如下圖,當 NSX 微分段方案要在企業生產環境進行部署前,服務團隊會依據下列的步驟逐步進行規劃:

步驟一:確認業務範圍與構件分類

 

此步驟內通常需要進行 1~2 週的 Workshop,由 VMware 專業服務團隊或是合作的經銷商顧問,與客戶的業務團隊進行數次訪談。訪談要達成的內容包含

 

  • 定義生產環境內有哪些業務應用要納入保護範圍

 

  • 在各業務應用內,確認含括的虛機 / 容器,以及裡面的各個構件分類,比如說哪些虛機是 Web-Server、哪些機器是資料庫…等等

 

  • 請此業務應用的負責人提供此應用與其他應用間,以及此應用內部各構件間的防護規則

 

下圖是一個網路上常見,簡易的購物網站方案構件舉例,這些構件可能是在同一個或不同的虛機、容器上。在Workshop內我們應該要至少可以知道這個應用內有包含哪些主要構件(對應到安全群組),每個構件是位於哪些虛機或容器,以及各個虛機 / 容器間的連線機制。

理想狀況下,在這個階段我們應該就可以定義出來應用裡面有哪些構件(群組),以及構件間的服務(要開放的防火牆規則)。但實務與不同的專案經驗上,由於各種原因,很多客戶無法在訪談時,即提供相關的資訊。通常可能會是下列幾種原因:

 

  • 應用老舊,當時的文件不齊全

 

  • 應用老舊,開發團隊已經解散,現有的應用負責人員也不清楚構件間的連接關係

 

  • 客戶本身政治問題:客戶內部團隊不對盤,專案 Workshop 不易請到應用負責人員提供資訊

 

此時一些能夠進行實際網路流查詢與稽核的工具配合就很重要了,而且在過程中,應該極力避免現有業務發生中斷造成影響。因此我們在下篇要繼續討論後續步驟,如何透過 vRealize Network Insight / NSX Intelligence / vRealize Log Insight等,來取得完整的應用防護規則。