學會如何在vRealize Network Insight內搜尋,並判讀虛機及Host資訊後,接下來將說明Network Insight搭配NSX所提供的微分段方案及安全防護,並且整合實體設備來查看詳細的虛實環境路徑。
上次文章說明了在vRealize Network Insight裡面怎麼做搜尋,可以看到哪些虛機與Host的資訊,功能很實用,但NSX在哪裡呢?如果只具備這些功能,那為什麼這個產品叫做「Network」 Insight,而不是vSphere Insight或是Virtualization Insight呢?
對此,本文將談論兩個重要的使用情境:Network Insight如何搭配NSX提供微分段方案的規劃與安全防護政策設計,並整合實體設備進行虛實環境路徑檢視。
相信很多人都已經實際部署與應用NSX微分段的功能,來提供vSphere資源池內的東西向防護。雖然微分段功能受到VMware客戶的廣大喜愛,也已經應用在許多台灣企業、政府、學校的vSphere環境內,但是在真的要應用微分段到生產環境內時,相信大家一定會問一個問題:「怎麼知道現在生產環境內的應用網路流有哪些?如何能在設定微分段安全規則時,不會去阻擋到正確的網路流呢?」
微分段方案規劃安全防護政策設計
如果是商用軟體或許簡單一些,手冊內可能有完整的防火牆需求列表。而如果是自己開發的軟體呢?用戶可能會馬上發現,包含開發團隊都不清楚各構件內到底用哪些網路埠連通的,更何況可能有許多舊應用,現在連開發團隊在哪邊都不知道了。這樣沒人敢做東西向防護了,因為一不小心就會把不該擋的正常業務流給擋掉。那糟了,除了全新建立的資料中心外,全部重新開發設計的應用系統,誰敢在現有的生產環境內隨意部署NSX來進行微分段功能?這就是Network Insight進場的重要時間點。Network Insight能夠辦到以下幾件事:
‧啟動vSphere Distributed Switch上的IPFIX/Netflow功能,並將整個vSphere環境內的虛機網路流資訊都收集到Network Insight內,進行集中的統計與分析。
‧不僅僅顯示IP∕網段間的統計資訊,還可以依據用戶實際的業務系統∕安全防護群組,進行群組間的網路流分析。
‧用戶不需要啟用實體網路設備上的任何特殊功能,只要用戶有Network Insight、vSphere 6以上的資源池並且使用vDS(只要有購買NSX或是採用vSphere Enterprise License都會具備),就能支援上述功能。
這個功能在Network Insight內叫作Plan Security。把Network Insight安裝好,與vCenter介接,並且設定在vDS上啟用Flow收集功能後,Network Insight就會持續地在背景不斷地收集整個vSphere資源池內的網路流資訊。
管理者隨時可以點擊Plan Security功能,並且選擇要看多久時間(1-day、3-day等等或1-month)的網路流統計。接著,像是圖1的統計圖就會出現了。
 |
| ▲圖1 網路流統計圖。 |
網路管理者可能會覺得這與一般的Flow Collector工具沒有什麼不同,其實有以下兩點的差異:
首先管理員不必到每台交換器、每個VLAN上把Netflow功能打開。實際上,底層網路設備無須任何更動。
而其真正的強項是,這邊的統計方式能夠依據實際的業務規劃,而非一定是IP或網段。
在圖1中,可以看到有各種不同的分類方式。在目前的Network Insight版本中,總共的統計分類方式包含以下幾項:
by VLAN/VXLAN/Subnet:依據vDS上的Port Group或是NSX內的邏輯交換器進行分類,或是直接用不同的網段來分組。這邊就是網路的功能。
by Application/Tier:用戶可以自訂所要的應用程式群組,以及內部的不同分層(如Web、AP、DB),再用這來分組。
by Folder:依據大家在vCenter內怎麼把虛機分類到不同Folder來進行統計。
by Cluster/VM:依據來源在哪個Cluster或是哪個VM來做統計。
by Port:依據網路流的不同目的Port(不同服務)。
by Security Group/Security Tag:在已經安裝NSX的狀況下,用戶可以先將安全群組或安全標籤設定起來,但不啟用防火牆防護。此時,Network Insight同樣能夠依據目前各虛機所隸屬的安全群組和安全標籤進行網路流統計。