База знаний
Подключиться Консультация
Получить консультацию Подключиться
Облачные сервисы
Виртуальный рабочий стол
Передовые сервисы по предоставлению сотрудникам безопасного удалённого доступа к мощным виртуальным десктопам и корпоративным ресурсам клиента с любого устройства, из любой точки мира.
Корпоративные сервисы
Удобные сервисы для обмена документами или файлами между сотрудниками компании в том числе за пределами организации, а также настройка ИТ‑инфраструктуры «под ключ» для Вашего бизнеса от экспертов облака МТС. Благодаря этим сервисам сотрудники экономят рабочее время на выполнение ежедневным рутинных задач, тем самым повышается их эффективность.
Сетевые сервисы
Мы обеспечиваем комплекс решений по построению и оптимизации сетевой инфраструктуры. Это позволит вам быстро и эффективно реализовать необходимую связность между различными сервисами с определенными параметрами качества.
Хранение и резервирование данных
Надежно и стабильно с МТС Cloud. Мы обеспечиваем хранение любых видов и объемов данных. Это позволит вам быстро и эффективно работать с данными и приложениями.
Аренда оборудования
Сервисы собственной разработки, которые помогут повысить эффективность работы ИТ‑подразделений.
Проектные решения
Партнерские сервисы
Стать партнером
Поддержка
База Знаний #CloudMTS
База знаний #CloudMTS / Virtual Infrastructure / Виртуальные сети / Сегментирование VM в VDC (Firewall E-W)

Сегментирование VM в VDC (Firewall E-W)

NSX-V
Distributed Firewall

VMware NSX-T™ Data Center предоставляет гибкую программно-определяемую инфраструктуру для создания облачных сред приложений.

Переход на платформу NSX-T позволяет изменить подход к сегментированию трафика внутри виртуального дата-центра.

Для трафика N-S (north south вертикальный трафик) изменений не произойдет, так как E-W трафик (east-west горизонтальный трафик) в NSX-T не проходит через пограничный шлюз (service router). Сегментация осуществляется на уровне ядра гипервизора с помощью Distributed Firewall.

  • в глобальном меню организации перейдите в раздел [Networking]
  • перейдите на вкладку Data Center Groups
  • нажмите на название нужной Data Center Group
img Увеличить
  • добавьте необходимый EDGE, к которому подключены VM, которые необходимо сегментировать
img Увеличить img Увеличить
IP Sets

Чтобы создать правила брандмауэра, в первую очередь требуется создать IP sets. IP sets — группы IP-адресов и сетей, к которым применяются правила брандмауэра. Объединение нескольких объектов в IP sets позволяет сократить общее количество создаваемых распределенных правил брандмауэра.

  • в блоке Security перейдите в пункт IP sets
  • нажмите на кнопку [ADD]
  • в окне "Edit IP Set":

    • в поле Name введите имя набора IP-адресов
    • в поле Description введите описание, если это необходимо
    • в поле Addresses введите адрес IPv4, адрес IPv6 или диапазон адресов в формате CIDR
    • нажмите на кнопку [NEW]
    • чтобы изменить существующий IP-адрес или диапазон, нажмите на кнопку [MODIFY] и измените значение
    • нажмите на кнопку [SAVE]
img Увеличить
Static Groups

Cети Data Center Groups возможно сгруппировать в статические группы безопасности. Статические группы безопасности — это группы Data Center Groups, к которым применяются правила распределенного брандмауэра.

  • в блоке Security перейдите в пункт Static Groups
  • нажмите на кнопку [NEW]
  • в поле Name введите имя статической группы
  • в поле Description введите описание, если это необходимо
  • нажмите на кнопку [SAVE]
  • в списке появится новая статическая группа безопасности
  • выберите созданную статическую группу безопасности
  • нажмите на кнопку [MANAGE MEMBERS]
  • в окне "Manage members of group *название*":

    • выберите сети группы центров обработки данных, которые необходимо добавить в статическую группу безопасности
    • нажмите на кнопку [SAVE]
    img Увеличить
Dynamic Groups

Возможно определить динамические группы безопасности виртуальных машин на основе определенных критериев, к каким применяются правила распределенного брандмауэра.

  • в блоке Security перейдите в пункт Static Groups
  • нажмите на кнопку [NEW]
  • в окне "Edit Dynamic Group":

    • в поле Name введите имя динамической группы безопасности
    • в поле Description введите описание, если это необходимо
    • для создания критерия для включения в группу добавьте до 4х правил, применяемых к имени VM или к тегу безопасности VM
    • нажмите на кнопку [SAVE]
    img Увеличить
Настройка правил Distributed Firewall

img Увеличить

Чтобы добавить правило, нажмите на кнопку [NEW ON TOP]:

  • в поле Name введите имя правила
  • включите опцию "State" для включения правила при создании
  • включите опцию "Applications". чтобы выбрать сетевой профиль, к которому применяется правило
  • нажмите на кнопку [SAVE]

Чтобы добавить собственный профиль:

  • перейдите в блок Security
  • используйте пункт Application Port Profiles
  • в окне "Edit Rules":

    • в поле Context выберите профиль контекста ЦОД NSX-T
    • в поле Source выберите источник трафика и сохраните

      • чтобы разрешить или запретить трафик с любого Source, выберите Any Source
      • чтобы разрешить или запретить трафик с определенных наборов IP-адресов или групп безопасности, выберите наборы IP-адресов и группы безопасности из списка
    • в поле Destination выберите целевой трафик и сохраните

      • чтобы разрешить или запретить трафик на любой адрес назначения, включите Any Destination
      • чтобы разрешить или запретить трафик к определенным наборам IP-адресов или группам безопасности, выберите наборы IP-адресов и группы безопасности из списка
    • в поле Action выберите из списка, разрешить или запретить трафик из определенных источников или к ним

      • чтобы разрешить трафик от или к указанным источникам, адресатам и службам, выберите Accept
      • чтобы заблокировать трафик от или к указанным источникам, адресатам и службам, выберите Deny
    • в поле IP Protocol выберите, следует ли применять правило к трафику IPv4 или IPv6
    • в поле Logging включите опцию "Enable logging", чтобы регистрировалось преобразование адресов, выполняемое этим правилом
    • нажмите на кнопку [SAVE]
  • чтобы настроить дополнительные правила, повторите шаги
img Увеличить

Описания и инструкции, размещаемые на данном ресурсе, носят исключительно информационный характер и не могут рассматриваться в качестве гарантий, заверений, рекомендаций или документа, порождающего какие-либо обязательства МТС. Конкретные условия использования сервисов определяются договорами с клиентом. МТС не несет ответственности за содержание публикуемых инструкций и результаты их применения клиентом. Актуальность отдельных положений публикуемых описаний и инструкций необходимо уточнять у аккаунт-менеджера или службы технической поддержки hub-support@cloud.mts.ru