Az elosztott tűzfal működését már korábbi cikkekben megmutattam, tényleg nagyon egyszerűen felkonfigurálható, ugyanakkor ezzel szemben igen látványos képességekkel vértezi fel a környezetet. Alapjában véve az, hogy nem feltétlen kell overlay hálózattal foglalkozni csak azért, hogy mikroszegmentálni lehessen, már önmagában eladja a terméket. A szabályokban használható – nem csak distributed firewall…
NSX 4.1.1. megjelenés
Tegnap elérhetővé vált az NSX 4.1.1, amiben van pár lényeges újdonság, de talán a legfontosabb az, hogy végre megoldott a a VMware azt a hibát, amit a 4.1.0-ra történő frissítés okoz. Erről írtam az alábbi bejegyzésben. A lényeg az, hogy a frissítés után, ha böngészőben a locale nem “english”, akkor…
NSX Security – DFW use case – a bevezetés
Az előző cikket azzal fejeztem be, hogy nagyon kis esély van arra, hogy a mikroszegmentációhoz szükséges összes szabály már dokumentált és azt csupán be kell konfigurálni az NSX elosztott tűzfalába. Általában a zónák elválasztása legalább papíron szokott létezni, de ennél mélyebbre nem nyúl senki, mivel eddig maximum guest operációs rendszer…
NSX Security – DFW use case
Az NSX egy svájci bicskához hasonlítható, bár egy olyanhoz képest a funkciói tényleg jól használhatók, míg egy olyan bicskával senki sem akarna nekiállni fát aprítani, holott van benne kis fűrész. A teljes NSX-ben egy durva lista mire is képes: A fenti sokaság eltekintve attól, hogy milyen licensz kell hozzá és…
NSX 4.X certificate “bug”
Az NSX 4.X annó rengeteg új funkciót hozott és bár volt olyan verzió amit végül azonnal visszavontak, a 4.1.0.0, de általánosan elmondható, hogy érdemes rá frissíteni. Később lesz poszt pár ilyen új képességről. Ebben a bejegyzésben azonban a tanúsíványokról lesz szó. Az NSX maga is használ több ilyen tanúsívtányt, amelyek…
Projektek/tenantok az NSX 4.1-ben
Az előző cikket ott fejeztem be, hogy a projektek megjelenése az NSX-ben eléggé üdvözlendő és régóta várt lehetőséget ad. Engedjétek meg, hogy én tenant szóval helyettesítsem a projekt szót. Tehát a tenant hatóköre egészen a T0-ig terjed, azaz minden az alatti entitást és az azokhoz kapcsolódó vagy kapcsolható funkciót is…
Multi-tenant NSX
Az NSX 4.1 megjelenésével a VMware egy igen régi adósságát törlesztette, mégpedig a multitenant működés támogatását. A “Projects” kivesézése előtt még egy helyen láthatunk erre utaló jeleket. (Ha frissítenél vagy frissítetél akkor ügyelj a böngésződ “English”-re állításán a GUI bug miatt – lsd előző cikkem.) NSX Manager – vCenter Server…
NSX 4.1 upgrade probléma
Megjelent az NSX 4.1 úgy körülbelül egy hete. Neki is ugrottunk a frissítésnek és annak rendje és módja szerint frissítettem én is.A frissítés hibátlanul lefutott és az ellenőrzéseket követően be is zártam mindent és kiléptem. Rá pár órára az NSX GUI-ra akartam belépni és nem sikerült. Az authentikációs felület bejött…
Több T0 vagy VRF? Melyik legyen?
Szembesültem a fenti kérdéssel és gondoltam érdemes kicsit körüljárni a témát. Sok-sok cikk elérhető a témában, de néha nehéz azt a saját esetükre lefordítani. Az NSX-T világában – és innentől NSX néven hívom minden cikkben, mivel az NSX-V végre valahára end of support lett – a T0 egy különös elem….
VMware NSX-T 3.2.0 – Nem csak kozmetika
Egy hete már olvasni internet szerte az új verzióról, demózzák képességeit, de gondoltam én megvárom a kiadás napját, frissítek és megnézem ezeket inkább magam. Meg is jelent a letölthető csomagok között. A 3.1.3.1-ről frissítés hibátlanul, tökéletesen sikerült. Az NSX-T ATP Sandbox-ot kihagyom, mert számomra még nem világos, hogy az most…
No NAT opció – VMware Tanzu
A VMware nem pihen és havi ütemezéssel jelenteti meg a Tanzu-s frissítéseket, amelyek a vCenter Server frissítéseivel érkeznek – supervisor klaszter, spherelet stb – illetve a saját content library-n megjelenő újabb ova-k képében – guest klaszterek esetén. Rengeteg hibajavítás van bennük, de azért akad új képesség is (sajnálatos módon ezekről…
Bonyolítsuk meg az NSX-T implementációt
Szeretem azokat a feladatokat, amelyeknél a követelmények alapján a lehető legjobban illeszkedő és a legminimálisabban szükséges komplexitás metszetében lévő kialakítást lehet megvalósítani. Egy bonyolult és egy egyszerű rendszer között a legtöbbször sem képességekben, sem funkcionalitásban nincs különbség, azonban hibakeresés esetén nagyon megbonyolítja a felderítést és úgy általában a rendszer működésének…
Be kell-e kapcsolni a MAC learning-et NSX-T esetén
Érzékem van a szürke zónák megtalálásához, mi több itt érzem magam igazán elememben. Többször írtam már az NSX-T által használt Edge VM-ek lelki világáról, jobban mondva arról, hogy a bennük kialakított Tier 0 milyen igényekkel és beállításokkal tehető redundánssá. Az NSX-T dokumentációja a VMware oldalán ebben nem sok segítséget ad,…
Kubernetes on vSphere 7 – HAproxy/NSX-T/AVI – zero to hero
Ez az egész olyan távol áll tőlem, mint Makótól Jeruzsálem. De az élet nem habostorta, ha olyat kell tanulni, amihez még érintésem sincs, akkor nem szabad befeszülni – annyira. Szóval van itt ez a konténerizációs téma, amely körül a megoldások, termékek és általában minden egyéb kapcsolódó dolog olyan gyorsan változik,…
VMware NSX – FQDN alapú szabály a distributed firewall-ban
Új év, új kérdések és feladatok. Az NSX-T tűzfalazási és mikroszegmentációs képességeiről már írtam elég sokszor korábban, ez nem lehet újdonság senkinek sem, aki legalább egy előadást hallott már a témában. Pár éve találkoztam egy olyan ügyféllel, ahol a root (azaz a .) fel volt véve minden tartományvezérlő DNS-ébe mint…
NSX-T anyagok és új design guide
Pár hete kifakadtam azon, hogy mégis miért nincs új design guide az NSX-T-hez, mikor a 3.0 és a vSphere 7 házassága elég sok változást és lehetőséget is hozott. Imáim meghallgattattak, ki is adtak egy újat. Mielőtt azonban megnéznénk, több egyéb is érkezett: NSX-T 3.0 Security Reference Guide (link) Jó anyag,…
Miért is kellene egy friss design guide az NSX-hez végre??
Korábban ezt a posztot megírtam angolul és azt 2200-an látták eddig. Kaptam kommenteket komoly szakemberektől – VCDX-ektől is – de valahogy a VMware-től bár 79-en látták, egyik sem “tetszikelte” vagy osztotta meg. Ennél jobban szerintem semmi sem magyarázza, hogy az elevenjükre sikerült tapintani. A VMware NSX twitter-én olyan alapcikkeket is…
Csak elosztott tűzfal kell az NSX-ből?
NSX-V esetén volt egy ilyen dokumentum, ami azt az esetet írta le, mikor az overlay-t nem kívánta használni valaki, viszont a többi képességet (load balancer stb.) de legfőképp az elosztott tűzfalat (DFW) viszont igen. NSX-T esetében ilyen dokumentum nem lelhető fel, de ez nem jelenti azt, hogy ez nem lehetséges….
NSX-T – Hol és hogyan lehet tűzfalazni?
Az NSX-V és az NSX-T egyik fő képessége mindig a mikroszegmentáció volt, az hogy akár két, egyébként egy szegmensben, egy hoszton lévő virtuális gép – sőt fizikai gép – között is képes szabályokat alkalmazni. Az overlay, az automatizálhatóság, a VPN, a load balancer stb. az mind mind olyan képesség, amelyek…
NSX-T naplózás Log Insight-ba
Naplózni minden rendszerben kell, mert a hibakeresés első lépése mindig a log-ok átnézése, viszont egy tűzfal esetében, ahol elsősorban a biztonságról van szó, tudni kell, hogy mi, mikor, honnan, hová, hogyan kommunikált – vagy csak akart. Az NSX-T rendszerekben azért akad pár komponens, amiből számíthatunk naplóra: vSphere ESXi hosztok –…
