Článek přečtěte do 7 min.

Zákazníci chtějí v cloudu nasadit známé bezpečnostní architektury, které zahrnují firewally, síťová virtuální zařízení (NVA), systémy detekce narušení (IDS), systémy prevence narušení (IPS) a zařízení SDWAN. Všechny tyto architektury jsou dnes dostupné na Oracle Cloud Marketplace. Osvědčené postupy vyžadují, aby zákazníci nasadili alespoň dvě z těchto zařízení kvůli odolnosti a škálovatelnosti a poté umístili zařízení za nástroj pro vyrovnávání zatížení, aby směrovalo příchozí provoz.

Před dneškem si však zákazníci museli vybrat: aktivní-aktivní design, který umožňuje škálovatelnost, ale ztratil přehled o zdroji provozu, nebo aktivní pohotovostní režim, který zachovává podrobnosti o zdroji provozu, ale omezuje propustnost na jedinou zabezpečovací zařízení.

S potěšením oznamujeme obecnou dostupnost podpory symetrického hashování na flexibilních nástrojích pro vyrovnávání zatížení sítě Oracle Cloud Infrastructure (OCI). Nyní si můžete zvolit aktivní-aktivní design pro škálovatelnost a automaticky zajistit, že zdroj veškerého provozu bude zachován a předán bezpečnostním zařízením obousměrně. Provoz proudí přes nástroj pro vyrovnávání zatížení sítě k vašim bezpečnostním zařízením a pak zpět po stejné cestě, čímž se vyhnete výpadkům síťových toků, ke kterým může dojít při asymetrickém směrování. Tato funkce je dostupná ve všech sférách OCI.

Návrhy aktivních a aktivních bezpečnostních zařízení: Před symetrickým hashováním

Pro aplikace, které vyžadují více toků nebo větší šířku pásma, které mají být zpracovávány vašimi bezpečnostními zařízeními, nasadíte návrh bezpečnostního zařízení typu active-active. Pro jakékoli stavové bezpečnostní zařízení potřebujete stejné bezpečnostní zařízení, které zpracovává příchozí tok provozu a zpracovává tok odchozího provozu, jinak je provoz zrušen.

Než byla k dispozici funkce symetrického hashování, museli zákazníci nakonfigurovat svá bezpečnostní zařízení pomocí konfigurací (zdrojový NAT) na svých firewallech, což pomohlo zabránit asymetrickému směrování. Aplikační backendy pak přijímají provoz, který dorazil se zdrojovou IP brány firewall, která zpracovala příchozí tok provozu, nikoli se skutečnou adresou klienta. Nevýhodou tohoto návrhu bylo, že skutečná zdrojová IP klienta byla pryč. Pokud jste tyto informace potřebovali pro účely dodržování předpisů nebo pro jiné účely, měli jste obecně smůlu.

Maximální viditelnost, zobrazení skutečné IP adresy klienta: Před symetrickým hashováním

Někdy potřebujete vědět, kdo si objednal jeden z vašich widgetů. Možná používáte údaje o zdrojové IP adrese k určení, kde se na světě nacházejí, nebo máte požadavky na dodržování bezpečnosti, které vám nařizují protokolovat skutečný zdroj příchozích toků provozu. Před symetrickým hashováním jste obecně museli navrhnout architekturu zabezpečení tak, aby nenabízela stejnou flexibilitu (aktivní-pohotovostní režim). Pokud návrh vaší aplikace vyžadoval šířku pásma nebo připojení za sekundu přesahující bezpečnostní zařízení, vaší jedinou možností bylo upgradovat na větší bezpečnostní zařízení, abyste dosáhli vyšší propustnosti.

Jak funguje symetrické hashování na nástroji pro vyrovnávání zatížení sítě OCI

Nástroj pro vyrovnávání zatížení privátní sítě OCI můžete nakonfigurovat tak, aby fungoval v režimu zachování zdrojové a cílové IP hlavičky (transparentní)*. V tomto režimu můžete transparentně vložit nástroj pro vyrovnávání zatížení privátní sítě jako cíl cesty dalšího skoku, do kterého jsou pakety předávány po dopravní cestě do jejich cíle. V kombinaci s naší novou funkcí symetrického hashování tato funkce umožňuje případy použití, jako je škálování firewallových zařízení, IPS a IDS, kde nástroj pro vyrovnávání zátěže sítě funguje jako nárazový prvek v cestě, který zachovává příchozí klientské pakety a odešle jej dalšímu skokovému síťovému virtualizačnímu zařízení, aby uplatnilo bezpečnostní zásady před předáním paketu do konečného cíle aplikačních serverů. Následující diagramy znázorňují tok provozu na vysoké úrovni pro provoz ze severu na jih a z východu na západ prostřednictvím nástroje pro vyrovnávání zatížení sítě a NVA při použití tohoto návrhu.

Severojižní provoz a východozápadní provoz mezi aplikačními podsítěmi.Dopravní tok ze severu na jih

V režimu zachování zdroje a cíle (transparentní) nástroj pro vyrovnávání zatížení sítě OCI nemění žádné informace v paketu a předává je backendu, takže efektivně funguje jako cíl trasy. Toto nastavení vyžaduje, aby byl provoz směrován přes nástroj pro vyrovnávání zatížení sítě prostřednictvím položky směrovací tabulky virtuální cloudové sítě (VCN). Viz následující příklad toku paketů.

Jaké návrhy sítí lze povolit pomocí symetrického hashování?

Pro nástroje pro vyrovnávání zatížení privátní sítě nakonfigurované v transparentním režimu (uchování zdrojové a cílové hlavičky) můžete nyní povolit symetrické hashování na nástroji pro vyrovnávání zatížení sítě. Tato metoda pomáhá zajistit, že provoz je přesměrován do stejného síťového virtuálního zařízení v obou směrech, aniž by bylo nutné zdrojový NAT na NVA.

Povolení symetrického hashování na nástroji pro vyrovnávání zatížení sítě umožňuje následující návrhy sítí:

  • Jednotný nástroj pro vyrovnávání zatížení sítě slouží jako front-end zařízení brány firewall a zpracovává dopředný i zpětný provoz.
  • Sendvičový design NVA s více vyrovnávači zatížení sítě
  • Povolit symetrický odchozí provoz přes zařízení SD-WAN

Jednotný nástroj pro vyrovnávání zatížení sítě slouží jako frontend zařízení brány firewall a zpracovává dopředný i zpětný provoz

V následujícím diagramu máme scénář, ve kterém máte transparentní nástroj pro vyrovnávání zátěže sítě, který funguje jako překážka ve vedení před vašimi firewally, aby vyvážení zátěže proudilo přes všechny vaše aktivní firewally, než provoz dorazí do aplikací umístěných v paprsku. podsítě. V transparentním režimu neposíláte provoz do vIP nástroje pro vyrovnávání zatížení sítě, ale posíláte jej do samotné IP aplikace. Tato aplikace může být dalším nástrojem pro vyrovnávání zatížení, který stojí před aplikačními backendy, nebo v našem případě instancí virtuálního stroje (VM), na které běží webový server.

Abychom přesměrovali provoz přes transparentní nástroj pro vyrovnávání zatížení sítě a naše brány firewall, používáme směrování intraVCN k přesměrování příchozího provozu přicházejícího z vašeho místního datového centra do nástroje pro vyrovnávání zatížení sítě pomocí pravidla soukromého směrování IP obsaženého v bráně dynamického směrování (DRG). směrovací tabulka. Transparentní nástroj pro vyrovnávání zatížení sítě pak vyrovnává dopředný provoz na jeden z aktivních firewallů, nakonfigurovaných jako backendy, které zase směrují provoz na skutečné servery. Tento provoz je přesměrován bez provedení jakéhokoli NAT na paket.

Ve zpětné cestě využíváme pravidla směrování na směrovací tabulce VCN přidružené k místní peeringové bráně (LPG), abychom zajistili, že provoz z backendových serverů bude směrován přes nástroj pro vyrovnávání zatížení sítě. Od transparentního nástroje pro vyrovnávání zatížení sítě se očekává, že vyrovnává zatížení zpětného provozu na stejné zařízení brány firewall, na které byl vyrovnán dopředný provoz. Tento návrat je výsledkem povolení symetrického hashování na NLB. Firewall pak přesměruje zpětný provoz přímo zpět do místní sítě datového centra zákazníka prostřednictvím DRG. Hlavním požadavkem na transparentní nástroj pro vyrovnávání zatížení sítě je předávání dopředného i zpětného provozu na stejné firewallové zařízení.

Celý tento proces se provádí bez změny zdrojové nebo cílové IP hlavičky na cestě, což zajišťuje, že aplikace na backendu uvidí skutečnou zdrojovou IP adresu klienta a ne vyrovnávání zatížení sítě nebo firewallu.

Jednotný nástroj pro vyrovnávání zatížení sítě slouží jako frontend zařízení brány firewall a zpracovává dopředný i zpětný provoz

Sendvičový model brány firewall s více nástroji pro vyrovnávání zatížení sítě

V následujícím diagramu máme sendvičovou architekturu, ve které je veškerý příchozí provoz OCI směrován přes externí vyrovnávání zátěže sítě v transparentním režimu, který předchází vašim firewallům (nedůvěryhodné rozhraní) a směruje odchozí provoz přes samostatný interní transparentní prostředek pro vyrovnávání zátěže sítě před firewally. (důvěryhodná rozhraní). S tímto požadavkem se často setkávají zákazníci, kteří chtějí na svém firewallu nebo NVA používat více zón k oddělení provozu.

Chceme, aby provoz směřující z naší místní podsítě (172.16.1.0/24) zkontroloval náš firewall, než se dostane k aplikacím, které se nacházejí v našich paprskových podsítích (10.1.1.0/24 a 10.2.1.0/24). K dosažení tohoto cíle používáme intraVCN směrování na DRG k přesměrování příchozího provozu z místního datového centra do paprskových podsítí. K DRG připojíme směrovací tabulku VCN, která má cíl 10.1.1.0/24 a 10.2.1.0/24 s dalším skokem nástroje pro vyrovnávání zatížení sítě vIP pomocí pravidla směrování privátní IP. Transparentní nástroj pro vyrovnávání zatížení sítě pak vyrovnává dopředný provoz na jeden z aktivních firewallů nakonfigurovaných jako backendy, které předávají provoz na skutečné servery. Tento provoz je přesměrován bez provedení jakéhokoli NAT na paket.

Zpětný provoz z našich mluvených sítí VCN je přesměrován přes transparentní nástroje pro vyrovnávání zatížení sítě a firewally. V tomto případě vytvoříme směrovací tabulky v rozbočovači VCN, který má cíl 172.16.1.0/24 s dalším skokem nástroje pro vyrovnávání zatížení sítě vIP pomocí pravidla směrování privátní IP. Tato směrovací tabulka musí být přidružena k rozbočovačům VCN LPG. Stejně jako v předchozím scénáři je zde hlavním požadavkem na transparentní nástroj pro vyrovnávání zatížení sítě předávání dopředného i zpětného provozu na stejné zařízení brány firewall.

Celý tento proces probíhá beze změny zdrojové nebo cílové IP hlavičky, což zajišťuje, že aplikace na backendu uvidí skutečnou zdrojovou IP adresu klienta a ne adresu vyrovnávání zatížení sítě nebo firewallu.

Sendvičový model brány firewall s více nástroji pro vyrovnávání zatížení sítě.

Povolit symetrický odchozí provoz přes zařízení SD-WAN

V následujícím diagramu máme privátní nástroj pro vyrovnávání zatížení sítě v transparentním režimu, který slouží jako rozhraní pro zařízení SD-WAN pro provoz odcházející z OCI do místního datového centra zákazníka. Dopředný (vstupní) provoz z místního datového centra do OCI neprochází nástrojem pro vyrovnávání zatížení sítě. V tomto případě nástroj pro vyrovnávání zatížení sítě vidí pouze opačný směr provozu. Takže první paket připojení TCP, který se zobrazí na nástroji pro vyrovnávání zatížení sítě, je SYN ACK.

V tabulce směrování DRG nemáme žádné položky trasy, které by přesměrovaly provoz na nástroj pro vyrovnávání zatížení sítě. Přesměrováváme pouze odchozí nebo zpětný provoz přes transparentní nástroj pro vyrovnávání zatížení sítě a zařízení SDWAN. Znovu využíváme výhod intraVCN směrování, abychom určili, že veškerý provoz z naší aplikační podsítě (web ssubnet 10.0.1.0/24) určený pro naše místní prostředí (172.16.1.0/24) má privátní IP další skok zatížení sítě vyvažovač VIP. Tato konfigurace umožňuje vyvážení zátěže odchozího provozu z VCN na zařízení SD-WAN.

Povolen symetrický odchozí provoz přes zařízení SD-WAN.

Začínáme se symetrickým hašováním pro váš nástroj pro vyrovnávání zatížení sítě OCI

Chcete-li začít se symetrickým hašováním na vašem nástroji pro vyrovnávání zatížení sítě, v konzole Oracle Cloud přejděte do navigační nabídky a vyberte položky Networking, Load Balancers a potom Network Load Balancer. Poté nasaďte nástroj pro vyrovnávání zatížení privátní sítě, povolte uchování zdrojové a cílové hlavičky a poté vyberte možnost Povolit symetrické hašování. Ve výchozím nastavení je symetrické hašování zakázáno kvůli zpětné kompatibilitě.

Podrobnosti o konfiguraci pro povolení symetrického hašování v konzole Oracle Cloud Console.

Pokud chcete povolit symetrické hašování na existujícím nástroji pro vyrovnávání zatížení sítě, přejděte na nástroj pro vyrovnávání zatížení sítě a vyberte možnost Upravit. Poté můžete povolit zachování zdrojové a cílové hlavičky a symetrické hašování. Než povolíte symetrické hašování, musíte mít na úrovni nástroje pro vyrovnávání zatížení sítě povoleno uchování zdrojových a festinačních hlaviček.

Úprava podrobností nástroje pro vyrovnávání zatížení sítě pro povolení symetrického hashování.

Závěr

S novými možnostmi, které umožňuje náš nástroj pro vyrovnávání zatížení sítě s funkcí symetrického hashování, poskytuje OCI flexibilitu, která vám pomůže zjednodušit nasazení aplikací na OCI. Jménem produktového týmu virtuálních sítí vám doporučujeme sdílet jakoukoli zpětnou vazbu k produktu, kterou máte, v komentářích. Sledujte prostor Oracle Cloud Infrastructure pro aktualizace, protože přidáváme další vzrušující funkce.

Další informace naleznete v následujících zdrojích:

Zdroj: Oracle