作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。
接續前篇討論,本篇網誌內我會繼續與大家討論常與客戶互動說明的防火牆相關配置與管理維運進階問題,包含如規則草稿、儲存、匯出、備份等的相關議題,請各位參考。
如果規則撰寫發布後發現出了問題,可否回到之前或特定時間的狀態?
當然可以的。NSX Manager內會儲存之前之防火牆配置異動。管理者在分散式防火牆介面內,點選ACTIONS – Drafts – View就可看到相關的配置與對應異動的日期。NSX Manager會儲存下列配置:
- 每次管理者異動NSX Distributed Firewall策略會觸動自動儲存,在圖表內會以灰色的圓點表示
- 管理者可以自行按Save手動要求儲存,在圖表內以灰色的星星表示
在上圖介面內點選特定的圓點或星星時,就會列出在這次變更內有異動的規則,如下圖。如果檢視確認沒問題,按右下角的LOAD,就可載入此次配置,回到之前時間點的防火牆規則,確認沒問題再重新發佈即可。
可不可以先把防火牆規則寫好,存起來等待上級核定,但不要發布?
可以的。比如說下圖,我們做了規則的更動比如說把某條規則的Action由Reject改為Allow。此時規則上方就會出現 “Unpublished Change” 字樣,代表這條規則還沒從Manager發佈到各台vSphere去,當然也就還沒生效。
此時,管理者可以選擇
- 按下右上角的Publish,防火牆策略就會送到每一台vSphere上,開始動作
- 覺得寫錯了,希望回復到之前乾淨的策略狀態。此時按右上角的Revert,即可還原更新
- 先做了策略的異動,但因為需要跑內部的流程或更進一步的Review,不希望馬上發布,但會需要將目前的策略先存起來。此時只要選擇ACTIONS – Save,就能將這個還未發佈,但已經修改的策略存在NSX Manager內,之後隨時需要即可叫出來運用。
分散式防火牆規則可否匯出做成報表?
分散式防火牆規則可以匯出成為CSV格式,由管理者自行做成報表。在ACTIONS 點選Export Configuration的選項並輸入保護密碼後即可進行匯出作業,完成後按Download即可下載:
還是要強調,匯出的規則檔案是CSV (Comma Separated Values) 的文字格式,可讀性低。如果需要漂亮的報表,需要手動將這個檔案匯入Excel或其他的報表軟體來做進一步整理。
分散式防火牆規則可否匯出後重新匯入?可否匯入到其他不同的NSX Manager?
前述匯出的規則檔案『可以』重新匯入。按ACTIONS – Import即可執行,重新匯回的規則會在View內存為一個Draft配置供管理者取用。但是
- 僅能匯入原始下載的壓縮檔案,『不能』將解開的CSV檔修改規則後,重新壓縮,再重新匯入
- 同上,『不能』匯入由第三方軟體產出之配置檔
- 基本上,除非由VMware PSO做過整理與判斷,匯出的壓縮檔只能匯入回原本的NSX Manager,不能送到另一組Manager內。主要的原因也是因為NSX Firewall規則的來源與目的端時常會用到群組 (Group) 等相關定義,在不同的NSX Manager內,Group的物件ID不易與原本規則的配置一樣。
分散式防火牆規則應該如何進行備份?
由上討論,我們不會僅將防火牆本身的匯出匯入作為單獨規則備份的手段。基本上與前面相同,除了做NSX Distributed Firewall的規則備份,同時也應該持續進行NSX Management Cluster本身的備份,整理如下:
- 以SFTP進行整體NSX配置的Backup/Restore機制,以確保若整個NSX管理層損壞,仍然可以完整手動回復
- 跨Site環境,搭配SRM進行NSX Managers虛機的整體備份
- 本地環境,除了NSX Managers內部的View/Draft機制外,可在進行重要變更時做手動防火牆規則匯出,以在NSX未損壞、無需花長時間回復整個NSX環境下,即可單獨、快速做防火牆的配置回復。
下篇同樣關注在微分段方案的配置維運相關議題,我會進行如例外清單、日誌等常見的相關問題討論。
