Перейти к содержимому

Сегментирование VM в VDC

Для обеспечения безопасности, управления трафиком и изоляции сегментов инфраструктуры используется сегментирование виртуальных машин.

Сегментирование настраивается на Distributed Firewall (DFW). Это распределенный межсетевой экран, который позволяет фильтровать трафик между VM (East-West) внутри виртуального дата-центра без использования Edge Gateway.

Он обеспечивает контроль политик безопасности. При работе DFW создается единая политика безопасности по умолчанию для всех VM в группе. Группы VM, рабочих нагрузок и ресурсов — это Data Center Groups (DCG).

Чтобы добавить Distributed Firewall в Data Center Group:

  1. Подключите DFW.
  2. Создайте IP Set.
  3. Создайте правило DFW в DCG.

Другие настройки, описанные в статье, опциональны.

Примечание

Описанные настройки доступны, если вы используете версию 10.4 или 10.5.

Подключение Distributed Firewall

Заголовок раздела «Подключение Distributed Firewall»

Для подключения DFW обратитесь в техническую поддержку MWS.

При подключении также будет создана Data Center Group.

Создание IP Set

Заголовок раздела «Создание IP Set»

IP Set — это группа IP-адресов и портов, к которым применяются правила распределенного межсетевого экрана. Создание IP Sets позволяет сократить количество создаваемых правил Distributed Firewall.

  1. Перейдите в Networking > Data Center Groups и выберите Data Center Group.
  2. Перейдите в Security > IP Set > Нажмите NEW.
  3. Откроется окно New IP Set. Заполните поля.
  4. Name — введите имя.
  5. Description — введите описание.
  6. IP Addresses — введите IP-адрес, или диапазонIP-адресов, или подсеть.
  7. Нажмите ADD и затем SAVE.

Создание Static Groups

Заголовок раздела «Создание Static Groups»

Static Groups — статические группы сетей Data Center Group. К ним применяются правила DFW. Создание Static Groups позволяет сократить количество создаваемых правил Distributed Firewall. Для создания Static Group требуется хотя бы одна сеть DCG.

Чтобы сгруппировать сети DCG в Static Group:

  1. Перейдите в Networking > Data Center Groups и выберите Data Center Group.
  2. Перейдите в Static Groups > Нажмите NEW.
  3. В окне создания Static Group заполните поля.
  4. Name — введите название Static Group.
  5. Description — введите описание.
  6. Нажмите SAVE.
  7. Выберите созданную Static Group и нажмите Manage Members.
  8. Выберите Data Center Group для добавления в Static Group.
  9. Нажмите SAVE.

Далее добавьте правила Distributed Firewall в Data Center Group.

Теги безопасности

Заголовок раздела «Теги безопасности»

Теги безопасности используются для определения правил Distributed Firewall для Data Center Groups.

Назначение VM тега безопасности

Заголовок раздела «Назначение VM тега безопасности»
  1. Перейдите в Networking > Security Tags > Нажмите Add Tag.
  2. Name введите название тега.
  3. Выберите виртуальные машины, которым будет назначен тег.
  4. Нажмите SAVE.

Тег безопасности назначается выбранным виртуальным машинам. Назначенные VM теги можно посмотреть в карточке VM.

Вы можете создать Dynamic Group на основе назначенных тегов.

Просмотр тегов безопасности

Заголовок раздела «Просмотр тегов безопасности»

Чтобы увидеть все теги безопасности, перейдите в Networking > Security Tags.

Чтобы увидеть список виртуальных машин с назначенным тегом, нажмите на кнопку расширения рядом с именем тега.
Если у вас нет прав на просмотр VM, она не отобразится в списке.

Создание Dynamic Groups

Заголовок раздела «Создание Dynamic Groups»

Dynamic Groups — динамические группы безопасности. Их можно использовать для добавления правил Distributed Firewall в Data Center Groups, а также в Edge Gateway, которые являются частью в DCG.

Динамические группы безопасности виртуальных машин можно определить на основе критериев, к которым применяются правила DFW. Чтобы создать критерий, необходимо добавить правила DFW, которые применяются к имени виртуальной машины или к тегу безопасности.

  1. Перейдите в Networking > Data Center Groups и выберите Data Center Group.
  2. Перейдите в Dynamic Groups > Нажмите NEW.
  3. В окне создания Dynamic Group заполните поля.
  4. Name — введите название Dynamic Group.
  5. Description — введите описание.
  6. VM Criteria. Чтобы применить правило к имени виртуальной машины:
    • Type — выберите VM name.
    • Operator — выберите оператора для правила: Contains для имен VM, которые содержат термин, или Starts With для имен VM, которые начинаются с термина.
    • Value — введите термин.
  7. VM Criteria. Чтобы применить правило к тегам виртуальных машин:
    • Type — выберите VM tag.
    • Operator — выберите оператора для правила: Equals, или Starts with, или Ends with, или Contains для тегов VM, которые равны, или начинаются, или заканчиваются, или содержат термин.
    • Value — введите термин.
  8. Нажмите ADD RULE, если необходимо добавить правило.
  9. Нажмите ADD CRITERION, если необходимо добавить критерий.
  10. Нажмите SAVE.

Application Port Profile

Заголовок раздела «Application Port Profile»

Application Port Profile (APP) — это комбинация протокола и порта или группы портов. Пользовательские Application Port Profile настраиваются или создаются для создания правил Distributed Firewall.

Чтобы добавить Application Port Profile в DCG:

  1. Перейдите в Networking > Data Center Groups и выберите Data Center Group.
  2. Перейдите в Application Port Profile > Нажмите NEW.
  3. В окне создания Application Port Profile заполните поля.
  4. Name — введите название APP.
  5. Description — введите описание.
  6. Protocol — выберите протокол.
  7. Ports — введите через запятую один или несколько портов.
  8. Нажмите SAVE.

Создание правил Distributed Firewall в DCG

Заголовок раздела «Создание правил Distributed Firewall в DCG»

Правила DFW применяются только к рабочим нагрузкам, которые подключены к сетям Data Center Groups (DCG). Для создания правил убедитесь, что созданы все IP Sets, к которым будут применяться правила DFW.

  1. Перейдите в Networking > Data Center Groups и выберите Data Center Group.
  2. Перейдите в Distributed Firewall > Нажмите EDIT RULES > NEW ON TOP.
  3. Name — введите название правила.
  4. State — включите правило.
  5. (опционально) Выберите конкретный порт назначения в VM:
    • Applications — включите опцию Choose a specific application, выберите порт и нажмите SAVE.
  6. (опционально) Выберите контекстный профиль виртуального дата-центра:
    • Context — включите опцию Choose a specific profile, выберите профиль для правила и нажмите SAVE.
  7. Source — выберите источник трафика. Для этого выберите действие:
    • Any Source — разрешить или запретить весь трафик;
    • Exclude — разрешить или запретить трафик с определенных IP-адресов.
  8. Destination — выберите адрес назначения трафика. Для этого выберите действие:
    • Any Destination — разрешить или запретить трафик на любой адрес назначения;
    • Exclude — разрешить или запретить трафик на определенные IP-адреса.
  9. Action — выберите пропускать или блокировать трафик:
    • Allow — пропускать;
    • Reject — блокировать.
  10. IP Protocol — выберите трафик, к которому применять правило.
  11. Если необходимо регистрировать фильтрацию, выполняемую этим правилом, включите опцию Logging.
  12. Нажмите SAVE.

Отключение Distributed Firewall

Заголовок раздела «Отключение Distributed Firewall»

При отключении DFW конфигурация правил безопасности будет удалена навсегда.

Для отключения Distributed Firewall:

  1. Отключите политику DFW.
  2. Обратитесь в техническую поддержку MWS.

Отключение политики Distributed Firewall

Заголовок раздела «Отключение политики Distributed Firewall»

Чтобы правила DFW больше не применялись, необходимо отключить политику DFW по умолчанию.

  1. Перейдите в Networking > Data Center Groups и выберите Data Center Group.
  2. Перейдите в Distributed Firewall > Default Policy Status.
  3. Поменяйте статус на DISABLE.
  4. Нажмите SAVE.