Сегментирование VM в VDC (Firewall E-W)

NSX-V

Distributed Firewall

Панель управления NSX-T™ Data Center предоставляет гибкую программно-определяемую инфраструктуру для создания облачных сред приложений.

Переход на платформу NSX-T позволяет изменить подход к сегментированию трафика внутри виртуального дата-центра.

Для трафика N-S (north south вертикальный трафик) изменений не произойдет, так как E-W трафик (east-west горизонтальный трафик) в NSX-T не проходит через пограничный шлюз (service router). Сегментация осуществляется на уровне ядра гипервизора с помощью Distributed Firewall.

в глобальном меню организации перейдите в раздел [Networking]
перейдите на вкладку Data Center Groups
нажмите на название нужной Data Center Group

Увеличить

добавьте необходимый EDGE, к которому подключены VM, которые необходимо сегментировать

Увеличить

IP Sets

Чтобы создать правила брандмауэра, в первую очередь требуется создать IP sets. IP sets — группы IP-адресов и сетей, к которым применяются правила брандмауэра. Объединение нескольких объектов в IP sets позволяет сократить общее количество создаваемых распределенных правил брандмауэра.

в блоке Security перейдите в пункт IP sets
нажмите на кнопку [ADD]
в окне "Edit IP Set":
- в поле Name введите имя набора IP-адресов
- в поле Description введите описание, если это необходимо
- в поле Addresses введите адрес IPv4, адрес IPv6 или диапазон адресов в формате CIDR
- нажмите на кнопку [NEW]
- чтобы изменить существующий IP-адрес или диапазон, нажмите на кнопку [MODIFY] и измените значение
- нажмите на кнопку [SAVE]

Увеличить

Static Groups

Cети Data Center Groups возможно сгруппировать в статические группы безопасности. Статические группы безопасности — это группы Data Center Groups, к которым применяются правила распределенного брандмауэра.

в блоке Security перейдите в пункт Static Groups
нажмите на кнопку [NEW]
в поле Name введите имя статической группы
в поле Description введите описание, если это необходимо
нажмите на кнопку [SAVE]
в списке появится новая статическая группа безопасности
выберите созданную статическую группу безопасности
нажмите на кнопку [MANAGE MEMBERS]
в окне "Manage members of group *название*":
- выберите сети группы центров обработки данных, которые необходимо добавить в статическую группу безопасности
- нажмите на кнопку [SAVE]
Увеличить

Dynamic Groups

Возможно определить динамические группы безопасности виртуальных машин на основе определенных критериев, к каким применяются правила распределенного брандмауэра.

в блоке Security перейдите в пункт Static Groups
нажмите на кнопку [NEW]
в окне "Edit Dynamic Group":
- в поле Name введите имя динамической группы безопасности
- в поле Description введите описание, если это необходимо
- для создания критерия для включения в группу добавьте до 4х правил, применяемых к имени VM или к тегу безопасности VM
- нажмите на кнопку [SAVE]
Увеличить

Настройка правил Distributed Firewall

Увеличить

Чтобы добавить правило, нажмите на кнопку [NEW ON TOP]:

в поле Name введите имя правила
включите опцию "State" для включения правила при создании
включите опцию "Applications". чтобы выбрать сетевой профиль, к которому применяется правило
нажмите на кнопку [SAVE]

Чтобы добавить собственный профиль:

перейдите в блок Security
используйте пункт Application Port Profiles
в окне "Edit Rules":
- в поле Context выберите профиль контекста ЦОД NSX-T
- в поле Source выберите источник трафика и сохраните
  - чтобы разрешить или запретить трафик с любого Source, выберите Any Source
  - чтобы разрешить или запретить трафик с определенных наборов IP-адресов или групп безопасности, выберите наборы IP-адресов и группы безопасности из списка
- в поле Destination выберите целевой трафик и сохраните
  - чтобы разрешить или запретить трафик на любой адрес назначения, включите Any Destination
  - чтобы разрешить или запретить трафик к определенным наборам IP-адресов или группам безопасности, выберите наборы IP-адресов и группы безопасности из списка
- в поле Action выберите из списка, разрешить или запретить трафик из определенных источников или к ним
  - чтобы разрешить трафик от или к указанным источникам, адресатам и службам, выберите Accept
  - чтобы заблокировать трафик от или к указанным источникам, адресатам и службам, выберите Deny
- в поле IP Protocol выберите, следует ли применять правило к трафику IPv4 или IPv6
- в поле Logging включите опцию "Enable logging", чтобы регистрировалось преобразование адресов, выполняемое этим правилом
- нажмите на кнопку [SAVE]
чтобы настроить дополнительные правила, повторите шаги

Увеличить

Описания и инструкции, размещаемые на данном ресурсе, носят исключительно информационный характер и не могут рассматриваться в качестве гарантий, заверений, рекомендаций или документа, порождающего какие-либо обязательства МТС. Конкретные условия использования сервисов определяются договорами с клиентом. МТС не несет ответственности за содержание публикуемых инструкций и результаты их применения клиентом. Актуальность отдельных положений публикуемых описаний и инструкций необходимо уточнять у аккаунт-менеджера или службы технической поддержки support@cloud.mts.ru