Csak elosztott tűzfal kell az NSX-ből?

NSX-V esetén volt egy ilyen dokumentum, ami azt az esetet írta le, mikor az overlay-t nem kívánta használni valaki, viszont a többi képességet (load balancer stb.) de legfőképp az elosztott tűzfalat (DFW) viszont igen.

NSX-T esetében ilyen dokumentum nem lelhető fel, de ez nem jelenti azt, hogy ez nem lehetséges. Egy hete volt szerencsém egy VMware által tartott webinar-t meghallgatni “Technical Deep Dive – NSX-T – Advanced Security” címmel.

Ott állította az előadó, hogy ez “out of the box” működik, szóval elegendő az NSX-T VIB-eket – nevezzük úgy hogy hozzáadni a vCenter-t az NSX-T Manager-hez és a hoszton/klaszteren telepíteni az NSX-T-t – telepíteni és nincs más teendő, működik is a distributed firewall.

Na ez nem igaz. Jeleztem is az előadónak, de ő állítja, hogy ez így van. Furcsa, mert ha kipróbálja, akkor nyilvánvaló, hogy nincs igaza. Ezért sem hiszek a VMware dokumentációjának vakon és a vmware.com-ra végződő email-ről írogató emberekben sem bízom feltétlen.

Hogy kell az ilyet beállítani?

Az NVDS-t felejtsük el, használjuk a vDS7-et végre. Ha egy ilyet létrehozunk az NSX-T telepítése előtt akár, akkor azt az NSX-T képes felhasználni. A security focused design esetén is létrejön(nek) a host TEP interfész(ek), de nem lesznek használva semmire. Viszont az NSX telepítése előállít két transport zónát:

  • overlay
  • VLAN

Ez utóbbi az érdekes számunkra. Tegyük fel, hogy három VLAN-ban vannak jelenleg virtális gépeink:

  • VLAN 100
  • VLAN 200
  • VLAN 300

Érhető hogy ezek a VLAN-ok jelenleg a port group-on definiált VLAN ID-val működnek – hacsak valaki nem olyan perverz hogy guest vlan tagging-et használ – közük nincs az NSX-T overlay-hez, az átjáró az valahol az NSX-en kívül van a hálózatban.

A fenti képen az alsó három port group-ról beszélek. Már látszik első ránézésre, hogy a felső kettő port group-nak van NSX relációja, de nézzük meg őket egyenként is.

Ahhoz hogy a DFW-t igénybe tudjuk venni ilyen VM-ek esetén is, másra nincs szükség, mint ugyanezeket a VLAN-okat létrehozni mint NSX szegmens. Egyet megmutatok a VLAN 100 esetén.

Ez majdnem pontosan ugyanazt a nézetet állítja elő ha vCenter Server-ből nézzük. Igen, a port group-ok neve lehet azonos, viszont legalább az ikonon látszik a kis “N” betű.

Az egyik ilyen port group-ra kattintva máris másképp néz ki.

Ha ehhez a port group-hoz tesszük hozzá a kívánt VM-et, abban a pillanatban használható a DFW.

Bárki állít, bármi mást, az erősen téved.