作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

承前面討論,所以在接下來兩篇我們的重點是要以實際的畫面與大家說明NSX V2T Migration Coordinator內,採用先建後拆 (Lift and Shift) 的防火牆移轉 (DFW_Only) 機制。為什麼特別挑這個出來當重點,當然是因為我們在台灣幾乎全部的NSX客戶,都已經採用微分段防火牆機制保護核心業務,但網路的功能反而不一定都會使用到。在V版逐步步入產品後期,如何協助這些客戶平順地移轉到T版環境,並持續得到相關的安全及網路效益,是後續的工作重點。

展示的情境請參考下圖,左邊是運作NSX for vSphere的原始生產環境,右邊是新建的NSX-T環境:

  • 因為是Lift and Shift架構,因此在目的環境內(右邊),客戶要先採購額外的硬體伺服器,然後將vCenter / vSphere / NSX-T安裝完成。
  • 同時,此環境內我們在NSX-T內以vlan形式建立了對應的業務網路(目的地的B-VLAN23-Seg),與來源端的A-PG-vlan23是二層打通的。DFW_Only架構可以支持目的端採用Overlay網路,再以L2-Bridge機制與原本來源端的VLAN網段連通,但這裡我們採用最簡單的實體vlan網路機制。
  • 業務機器在原本環境均運作在上述的vlan 23實體網路內。如同前項說明,因為此環境內的網路僅採用vlan,當我們後續要將業務機器遷移到目的地的vlan 23網段 (B-VLAN23-Seg),由於是在同樣的二層網路內,IP/Gateway都不用改,管理者可以考慮採用vMotion或是HCX來進行移轉

在原始環境內,我們透過NSX for vSphere的DFW來進行業務虛機的保護。下圖是我們在相關安全構件的配置:

環境內我們有配置一個Security Tag叫v2t-web-tag,並且apply到web-01 / web-02這兩個虛機上。同時建立兩個群組:Web-Group這個群組的條件是任何有v2t-web-tag的虛機就要包含在此群組內,因此web-01 / web-02兩個機器當然有被包含在內。另外,為了定義 “Internet Traffic”,我們定義了一個IPSET集合叫做Non-Internet IPSET,裡面包含了被保留的Intranet / Multicast IP等地址(我知道這裡包含的私有地址範圍很不完整,但只是舉例,大家就隨便看看)。

因此,在分散式防火牆規則內我們就可以利用群組以及IPSET來定義對應到這些虛機的保護規則:所有SSH的Traffic,包含L4/L7的比對,都要允許。Web-Group內虛機間的相互連線要拒絕,但往Internet的連線可允許。所有其他的Traffic都要reject。

下面幾張圖是在原始環境內,NSX for vSphere介面內,對應到上述Security Tag / Security Group / IPSET / DFW Rule的配置。首先是Security Tag:

Security Group v2t-web-group內的規則是只要有上述v2t-web-02這個標籤的虛機,就要加入此群組。因此兩個業務虛機都有被包含在內

另外建了一個IPSET集合是包含了Intranet/Multicast Addresses:

然後是分散式防火牆的規則。下圖內比較特殊的是1008號的規則,這邊我們要定義的是這些受保護的虛機可以到”Internet”,但因為我們無法建一個集合叫Internet,因此這裡用了否定”Negate”語法,如果是要到任何『沒有』被定義在Non-Internet-IPSET集合的地址,就是要往Internet。

上面的防火牆相關規則雖然極為簡單,但是這個範例內應該已經包含到許多NSX客戶常用的微分段機制:

  • 基於標籤以及群組,來動態定義業務構件
  • 基於業務構件來定義防火牆的來源與目的端規則
  • 支持基於 IP / IPSET 的標準定義
  • 支持基於 L4的Protocol/Port服務定義,以及L7的應用識別定義
  • 虛機是運作在vlan實體網路上。無論虛機在NSX內運作於vlan網路或是overlay網路,防火牆都應生效。

在下篇文內我們會和大家就DFW_Only的V2T移轉流程進行說明。當移轉完成後,上述大家在這邊看到的標籤、群組、IPSET、服務、防火牆規則等,都應該要能夠在NSX-T的新環境內出現,只要我們將虛機遷移到T版環境,就可以受到相同等級的保護。那就先停在這邊。