数据中心策略设计
HPE Aruba Networking 数据中心提供强大的策略管理选项,以支持多租户、实现安全目标,并保护关键数据。
目录
HPE Aruba Networking 数据中心策略层
HPE Aruba Networking 数据中心策略层的实现是为所选网络架构的最大安全性量身定制的。
EVPN-VXLAN 设计提供了丰富的叠加技术和流量过滤机制的组合,用于隔离用户和应用流量,主要在叶子交换机上配置。2层两层设计提供了许多相同的过滤选项,但需要在核心层和接入层都进行配置。
HPE Aruba Networking CX 10000 分布式服务交换机(DSS)通过交换机内的内联状态防火墙强制执行东西向流量策略。DSS 优化了性能和流量流动特性,优于集中式防火墙策略,并且可以取代基于虚拟机管理程序的防火墙,增加托管工作负载的虚拟机管理程序的 CPU 和内存资源。CX 10000 可以部署在 EVPN-VXLAN 和两层架构中,但使用 EVPN-VXLAN 设计可以实现更大的策略灵活性。
本文件中术语 DSS 和 CX 10000 交替使用。
HPE Aruba Networking fabric 编排器与 VMware vCenter 和 AMD Pensando 策略服务管理器(PSM)的集成,为使用 CX 10000 交换机和虚拟机访客策略分配管理东-西数据中心策略提供了强大的组合。网络和安全管理员可以集中管理所有策略元素,同时授权虚拟机管理员使用虚拟机标签在其独立的工作流程中将虚拟机访客分配到策略块中。fabric 编排器还支持访问控制列表(ACLs)的集中配置。
本文档介绍了设计 HPE Aruba Networking 数据中心网络策略层的组件、设计建议和最佳实践。
带外管理网络
组织应计划建立物理隔离的管理局域网(LAN)和基于角色的访问控制(RBAC)以管理网络设备。
单独的管理网络可以防止数据平面成为潜在交换机管理被攻破的攻击面,并确保在修改数据平面策略时不会失去数据中心交换机的可达性。
RBAC 需要通过企业目录进行登录验证,通常使用 TACACS+ 或 RADIUS 协议与策略服务器(如 HPE Aruba Networking 的 ClearPass 策略管理器)实现。
还应考虑使用日志设施、日志管理和日志分析。
分段(Segmentation)和策略前提条件
数据中心应用程序以多种方式部署。应用程序可以作为虚拟机(VM)由超虚拟机管理程序实现,或托管在裸机服务器上。容器化应用高度分布,通常需要多个计算和服务节点之间的连接。在某些情况下,一个数据中心包含多个租户的应用程序,同时提供一组共享服务。由于应用程序的部署大部分流量都在数据中心内,因此错误地认为所有安全威胁都是外部的。
成功的数据中心策略设计始于分析在环境中运行的应用程序的需求。当缺乏充分的需求文档时,通常需要重新分析遗留应用程序。从网络角度来看,应用程序分析应记录应用程序成功运行所需的所有网络连接。这些可能包括与后端数据库或云托管服务的连接。理解应用程序配置文件对于定义正确的策略至关重要,以识别哪些连接必须允许,哪些必须拒绝。
同样,还需要分析访问应用程序和数据的用户配置文件。切勿让数据中心对整个园区开放,即使假设环境安全。为了正确限制访问,应了解与应用程序和所需数据相关的各种用户配置文件。识别园区内、远程分支、移动现场工作人员和公共互联网的需求,以便制定适当的数据中心访问配置文件,反映其独特需求。
分段概述
分段是数据中心主机之间的逻辑隔离,可以在其上执行安全策略。网络分段可以代表一组大型主机,例如数据中心租户,也可以细化到单个主机。
VRF 分段
建立路由域是对内部数据中心通信进行分段的关键方法,也是 EVPN-VXLAN 叠加的要求。属于同一路由域的网络主机默认无法与其他路由域的主机通信。每个路由域包含一组允许相互通信的主机,同时可以控制进入或离开路由域的流量。当需要共享路由域之间的连接时,可以采用多种策略。
交换机通过实现虚拟路由与转发实例(VRF)支持多个路由域。每个 VRF 由唯一的路由表、根据路由表转发流量的成员接口和构建路由表的路由协议组成。不同的 VRF 可能包含重叠的 IP 地址范围,因为各个路由表是离散的。
VRF 实例可以与客户、应用程序、一组具有共同安全需求(如 PCI)或具有其他共同特征(如生产环境、开发环境等)的主机相关联。这种关联使得可以将 VRF 实例用作安全域,通过在连接 VRF 的网络设备(如防火墙)上应用安全策略实现。连接到外部网络的 VRF 成员接口提供了实现南北向安全策略的自然点。
在 EVPN-VXLAN 设计中,VRF 是叠加层中的必需结构,并在叶子交换机上实现。在多 fabric 环境中,EVPN-VXLAN 允许将 VRF 分段扩展到其他数据中心位置。默认 VRF 保留用于底层连接。
在 Layer 2 两层设计中,VRF 是可选的,通常在数据中心核心实现。规模足够大以需要 VRF 分段的数据中心通常采用 EVPN-VXLAN 解决方案,但在 Layer 2 两层设计中,VRF 仍然是一种有用的分段策略。默认情况下,所有在 Layer 2 两层数据中心中的主机都是默认 VRF 的成员。
应谨慎添加 VRF,因为随着 VRF 数量的增加,网络的操作复杂性也会增加。减少复杂性可以使网络实现更易于维护和故障排除。每个组织应定义自己的策略,明确说明添加 VRF 的标准。例如,支持多个租户的服务提供商具有不同的标准,所需 VRF 数量也多于大学数据中心。
常见的最佳实践是使用实现明确组织目标所需的最少 VRF 数量。VRF 用于支持:
- 分离生产和开发应用环境。这提供了一个开发沙箱,同时最大限度地减少对生产应用正常运行的风险,并在需要时支持重叠的 IP 空间。
- 将策略应用于需要严格合规的分段流量,例如 PCI 或 HIPAA。
- 将策略应用于由组织策略识别为需要分段且具有一组共同安全要求的主机的流量。这些主机集通常共享一个共同的管理域。
- 在多租户数据中心中隔离第3层路由可达性,同时支持重叠的IP空间。
虚拟路由转发(IVRF)可以在数据中心内部使用,用于在VRF之间共享IP前缀。例如,为了在数据中心提供共享服务,可以创建一个服务VRF,为部分或全部其他数据中心VRF提供一组公共资源。IVRF允许服务VRF中的应用与其他VRF中的主机之间实现第3层可达性。
IVRF 可以通过将先前离散的路由域连接在一起来规避虚拟路由与转发策略(inter-VRF 策略),并且不支持重叠的 IP 地址空间。
VLAN/子网分段
除了限制广播域的大小外,VLAN 还可以用来按角色、应用和管理域对数据中心主机集进行分组。通常,一个 VLAN 关联一个单一的 IP 子网。VLAN 之间的流量必须通过路由转发,所有 VLAN 之间的主机流量都通过 IP 网关接口转发,在该接口上可以应用安全策略。
应用于 Layer 3 VLAN 接口的访问控制列表(ACLs)通常用于在子网之间强制执行基础策略。对于更复杂的策略需求,常见的解决方案是部署集中式防火墙并将其设为默认网关。这会导致次优且低效的流量模式。VLAN 之间的路由流量在中央防火墙处进行“髮夹弯”,不必要地消耗额外的数据中心带宽。
HPE Aruba Networking 提供了更优雅的数据中心策略方案,即部署 DSS(CX 10000)ToR 交换机,这些交换机在主机连接层提供硬件基础的 Layer 4 防火墙功能。这种模型优化了数据中心带宽容量,并消除了通过中央防火墙“髮夹弯”流量的需求。
微分段
微分段将 Layer 2 VLAN 分段扩展到单个工作负载级别,利用私有 VLAN(PVLAN)功能集中提供的隔离和主 VLAN 构造。类似于基于虚拟化管理程序的防火墙,PVLAN 微分段策略提供了在同一虚拟化管理程序上的虚拟机(VM)访客之间强制执行策略的能力。这一策略也可以用来在容器之间强制执行策略。
私有 VLAN 结合 DSS 支持在工作负载连接点本地执行微分段策略。分配到相同隔离私有 VLAN 的数据中心工作负载不能在 Layer 2 上直接通信。该隔离 VLAN 关联到 CX 10000 上的主 VLAN,该主 VLAN 为每个隔离 VLAN 配置了默认网关 SVI。在主 VLAN 的 SVI 上配置代理 ARP,以实现隔离主机通过主 VLAN SVI 进行通信。
集中式防火墙也可以用来实现微分段,但随着微分段工作负载的快速增长,以及集中式设计中低效的流量工程,整体数据中心带宽会更快耗尽,因为每个微分段工作负载的流量都需要在中心“髮夹弯”。
使用 DSS 叶子交换机的 EVPN-VXLAN 解决方案提供了最灵活的策略分配。状态防火墙策略被分配到与微分段工作负载的隔离 VLAN 相关联的主 VLAN。由于分配给隔离 VLAN 的所有工作负载的流量都转发到 DSS 上的主 VLAN,因此所有该工作负载的流量都受到策略强制执行。可以对工作负载应用出站和入站的防火墙策略。
在使用 DSS 访问交换机的 Layer 2 两层方案中,防火墙策略仅限于应用于工作负载的隔离 PVLAN 的出方向。当流量穿越 DSS 访问层到达核心定义的主 VLAN 网关 IP 时,策略得到执行。
CX 10000 提供了一种统一的数据中心微分段策略,支持虚拟化管理程序无关(支持 VMware、Microsoft Hyper-V、KVM 等),同时也支持裸金属服务器。使用 CX 10000 替代基于虚拟化管理程序的实现,可以将策略执行周期从虚拟机主机 CPU 转移到专用交换机硬件上。
在 EVPN-VXLAN 和 Layer 2 两层方案中,ACL 策略可以应用于主 VLAN 的 SVI 接口,PVLAN 也可以跨多个交换机扩展。
微分段可以应用于需要高水平审查的部分主机,也可以更广泛地应用,以最大化数据中心的安全态势。
策略概述
安全策略规定了网络段之间允许的流量类型。基于网络的策略通常通过防火墙或 ACL 来执行。如果流量被状态防火墙允许,则会创建动态状态以允许会话的返回流量。ACL 仅在单一方向上应用于流量,不会创建动态状态。
应用网络安全策略在减少数据中心主机暴露的攻击面方面起着重要作用。阻止不必要的协议可以减少威胁行为者在主机利用中的策略手段。限制允许的出站流量可以抑制命令与控制结构,并阻止常见的数据外泄方法。应用数据中心内部的安全策略可以限制在主机被攻破时的横向威胁移动选项。
数据中心边界策略
数据中心路由需要与园区和其他外部网络共享。在数据中心与外部网络之间的边界应用策略,是数据中心应用的第一道安全防线。它们限制访问仅允许的网络和主机,同时监控这些连接,可以通过边界防火墙设备或 ACL 来实现。
在 EVPN-VXLAN 核心叶子设计中,一对叶子交换机是通往数据中心的唯一入口和出口点。这种边界叶子不一定专用于该功能。边界和服务叶子功能通常结合使用,也较少将计算主机附加到边界叶子。在 Layer 2 两层设计中,核心层提供数据中心与外部网络之间的共同入口和出口点。在这两种情况下,数据中心网络边缘是实施一系列策略以控制进入和离开数据中心网络的地方。
边界策略在 VRF 段级别应用。如果一个 VRF 包含所有数据中心主机,则在数据中心边缘配置一对策略:一对用于入站流量,另一对用于出站流量。如果配置了多个 VRF,则应在每个 VRF 层面实施一对唯一的策略。
多个数据中心 VRF 可以通过单一物理接口或使用 802.1Q 标记的聚合链路扩展到上游边缘设备。每个 VRF 关联一个 VLAN,VLAN 对应的 SVI 用于路由协议对等。上游边缘设备可以定义一个或多个 VRF。数据中心边缘 VRF 与其园区 VRF 邻居之间的直接 VRF 对等关系,可以将 IP 分段扩展到园区,这被称为 VRF-lite。
除了过滤数据中心与外部网络之间的流量外,多个数据中心 VRF 还可以与单一外部路由实例对等,以创建一个联合的执行点,用于外部和跨 VRF 策略(在未实现重叠 IP 地址空间的情况下)。数据中心 VRF 之间的策略通过将流量髮夹弯到上游设备来执行。
边界防火墙
在边界部署的专用安全系统可以提供高级监控、应用感知的策略执行和威胁检测。
边界防火墙可以以透明或路由模式部署。在透明模式下,防火墙的行为类似于一段“碰撞线”,意味着它们不参与第3层网络路由。从直接连接的交换机的角度来看,它们与透明桥没有区别,但防火墙只转发明确允许的流量。在路由模式下,防火墙参与路由控制平面,通常具有更大的灵活性,支持深度包检测和策略执行选项。需要注意的是,状态防火墙需要对称转发,以便正确应用策略到会话中的后续流量。
当多个数据中心的虚拟路由转发(VRF)包含重叠的IP地址空间,或者VRF分段必须扩展到边界防火墙之外时,防火墙必须支持虚拟化机制以实现路由表隔离。这可以是将防火墙本身虚拟化为不同的逻辑实例,或支持VRFs。
边界访问控制列表(ACLs)
当数据中心内部的 IP 子网被设计为映射到安全组或业务功能时,边界叶上的访问控制列表(ACLs)可以从用户位置到数据中心应用提供策略执行。如果子网无法映射到安全组,ACLs 在较大的环境中可能变得难以管理和扩展。边界 ACLs 的主要优点是它们可以直接在交换基础设施上实现,以执行策略基础,从而建立数据中心访问。使用交换机 ACLs 实现的策略特别针对第 3 层和第 4 层结构。交换机 ACLs 不是有状态的,也不具备应用感知能力。
东西向安全策略
现代数据中心中大部分流量是数据中心工作负载之间的东西向流量。可以通过防火墙或 ACLs 在 VRF、VLAN 和微分段之间实现策略执行。
与 ACLs 相比,防火墙提供更全面的过滤能力。在 HPE Aruba Networking 数据中心内,可以通过两种方法在网络层实现防火墙策略:使用分布式服务交换机(DSSs)进行内联,或在服务叶中集中使用防火墙设备。
分布式服务交换机策略执行
AMD Pensando 可编程数据处理单元(DPU)扩展了 CX 10000 交换机的功能,增加了有状态防火墙能力。利用这一内置硬件特性,防火墙执法作为交换机数据平面的一部分,内联提供支持。
这种方法具有多项优势。数据路径通过在工作负载连接点应用策略得到优化,无需通过集中式防火墙进行数据回转。防火墙策略可以细粒度到主机级别,支持微分段。Pensando DPU 提供线速性能,能够缓解超融合虚拟机管理程序(hypervisor)基础的防火墙服务在处理大量数据流时的资源消耗,通过将防火墙服务移至专用交换机硬件实现。
CX 10000 交换机作为 EVPN-VXLAN 解决方案中的叶子交换机部署,作为两层架构中的接入交换机部署。
中心防火墙策略执法
另一种常用的策略执行方法是在一个集中位置部署防火墙设备,为数据中心主机提供 IP 网关服务。
在 EVPN-VXLAN 解决方案中,集中防火墙连接到服务叶子,并且在使用叠加网络的情况下,与 fabric 主机在 2 层相邻。需要策略执行的主机的默认网关从 ToR 转移到集中防火墙。类似于边界叶子,服务叶子不需要专门用于此功能。这种方法的一个优点是可以轻松使用 2 层叠加网络将主机流量传输到防火墙。
在 2 层两层网络中,集中防火墙连接到核心交换机,主机的默认网关从核心交换机转移到集中防火墙。
使用集中式防火墙进行 EVPN-VXLAN 和 2 层两层拓扑结构存在一些缺点。策略执行只能在不同子网的主机之间应用。集中式防火墙需要多次交换机跳转以在数据中心主机之间执行策略,这降低了 EVPN-VXLAN 模型中数据路径的效率。在连接到同一交换机的两个主机之间执行策略时,必须将流量转发到集中防火墙。通过集中点进行大量东西向流量的“髮夹”可能会造成瓶颈,降低东西向数据中心带宽容量。可以集中支持微分段,但不建议这样做,因为这要求所有基于策略的数据中心流量都必须经过网络中的单一点,显著增加瓶颈的风险。
下图展示了使用服务叶子防火墙时低效的流量髮夹情况。
基于虚拟机监控器的防火墙执行
一些供应商在虚拟机监控程序环境中提供虚拟化防火墙服务。这种方法可以实现细粒度的、基于服务的策略执行,同时允许使用主动网关。VMware NSX 就是可以以这种方式集成的产品示例。
虚拟化防火墙可能会消耗大量的 CPU 资源,减少虚拟机基础架构中用于计算处理的 CPU 资源。CX 10000 通过将防火墙检测移到支持微分段的交换机基础设施上的专用硬件,缓解了这种压力。
应用 DSS 策略
配备 AMD Pensando 的 HPE Aruba Networking CX 10000 交换机提供了强大的策略执行引擎,称为分布式服务交换机(DSS)。本节提供背景信息以及如何实现 DSS 防火墙策略的详细说明。
Pensando 策略与服务管理器(PSM)应用定义策略及相关元素,并将其推送到 AMD Pensando DPU。HPE Aruba Networking Fabric Composer 可用于通过 PSM 的 API 编排策略。
PSM 策略基础
PSM 策略可以分配给两种不同的对象类型:网络 和 VRF。PSM 将 网络 对象与在 DSS 交换机上配置的 VLAN 相关联。定义 PSM 网络 会通知交换机将与之关联的 VLAN 的流量重定向到基于 AMD Pensando DPU 的防火墙,以执行第 4 层策略。分配给 网络 的策略仅应用于与该 网络 对象相关联的 VLAN 中的流量。PSM 将 VRF 对象与在 DSS 交换机上配置的 VRF 相关联。
分配给 VRF 对象的策略适用于与之相关联的 VRF 中的所有 VLAN,这些 VLAN 也与 网络 对象相关联。VRF 策略执行不要求将策略分配给 网络 对象,但它确实要求每个 VRF 中的 VLAN 都存在一个 网络 对象以将流量重定向到 Pensando DPU。没有对应 网络 对象的 VRF 中已分配 PSM 策略的 VLAN 不会将流量转发到 Pensando DPU。
为每个 VRF 内的 VLAN 定义一个 网络 对象(如果有 VLAN 或 VRF 需要策略强制执行)。如果只有部分 VLAN 在 VRF 中定义了对应的 网络 对象,可能会导致网络通信失败。
当流量被重定向到 Pensando DPU 进行防火墙强制时,VRF 和 网络 策略都会被执行。PSM 使用逻辑 AND 函数评估这两种策略。策略不会串联或顺序评估。如果两个策略都允许流量,则转发流量。如果任一策略拒绝流量,则丢弃流量。如果在某一层未分配策略,则由另一层的策略强制执行。如果两层都未分配策略,则允许流量。下表总结了何时允许或拒绝流量。
| 网络策略 | VRF 策略 | 结果 |
|---|---|---|
| 许可 | 许可 | 许可 |
| 拒绝 | 允许 | 拒绝 |
| 允许 | 拒绝 | 拒绝 |
| 拒绝 | 拒绝 | 拒绝 |
| 许可 | 无策略 | 许可 |
| 拒绝 | 无策略 | 拒绝 |
| 无策略 | 允许 | 允许 |
| 无策略 | 拒绝 | 拒绝 |
| 无策略 | 无策略 | 允许 |
PSM 防火墙策略是一组规则,指定源地址和目标地址,以及它们之间允许的流量类型,使用 IP 协议和端口号。PSM 策略被分配到 网络 或 虚拟路由与转发(VRF),可以是进入(ingress)或离开(egress)方向,从连接主机的角度来看。目标为直接连接主机的流量被视为进入(ingress),源自直接连接主机的流量被视为离开(egress)。这种进入/离开关系与从交换机网络接口的角度应用交换机访问控制列表(ACLs)相反。
PSM 入口策略
入口策略适用于目的地为具有关联 PSM 网络的 VLAN 中主机的流量,除非是同一 VLAN 中的两个主机之间通过同一台 CX 10000 连接的流量。入口策略通常用于过滤目的地为应用服务器的入站流量。
入口策略适用于在运行 AOS-CX 10.10.1000 及以上版本时,在连接到同一台 CX 10000 的主机之间路由的流量。早期版本的 AOS-CX 仅限制于在同一交换机上对路由和桥接流量之间应用出口策略。
入口策略不适用于在同一交换机上的传统 Layer 2 桥接流量,也就是说,不能在使用 CX 10000 访问交换机的 Layer 2 两层拓扑中应用。当使用 EVPN-VXLAN 时,可以采用使用私有 VLAN 和代理 ARP 的微分段策略,在同一交换机上的相同隔离 VLAN 中的主机之间应用入口策略,具体描述见 微分段。
当使用 EVPN-VXLAN fabric 叠加层时,入口策略适用于所有 VXLAN 转发的流量,包括路由流量和连接到不同 VTEP 的同一 VLAN 中的主机之间的 Layer 2 流量。在到达目标交换机的 VTEP 接口后,流量会被转发到 Pensando DPU 进行评估。
PSM 出口策略
出口策略定义由直接连接到 DSS 交换机的主机发起的允许流量。定义出口策略可以防止被攻破的主机在数据中心内横向移动,以及防止数据泄露。例如,后端数据库服务器可能只需要与对等数据库服务器进行同步、DNS、NTP、认证服务的通信,以及与本地更新服务器的通信。可以通过使用 Layer 4 过滤器限制只允许所需的流量类型在主机之间进行。
出口策略应用于所有源自被检查 VLAN 中主机的流量,无论目的地主机位于何处。与入口策略不同,出口策略过滤在同一交换机上同一 VLAN 中主机之间的 Layer 2 桥接流量。出口策略在 EVPN-VXLAN 叶子交换机和 Layer 2 两层访问交换机上都被应用,以强制执行 VLAN 之间和微分段策略。
在默认情况下,位于同一物理主机上的虚拟机或容器之间的通信不会被转发到 DSS 交换机进行策略执行。可以使用 PVLAN 微分段策略来强制执行这些工作负载之间的策略,具体描述见 微分段。
CX 10000 混合环境考虑事项
在数据中心 fabric 中应用一致的 PSM 基于策略的管理更容易实现,前提是所有叶子或接入交换机都是 CX 10000。这支持统一的策略执行,无需管理例外情况。支持 DSS 和非 DSS 交换机的混合环境,但需要额外的规划。
在一个 CX 10000 上重定向的 VLAN 用于策略检查时,应在同一 fabric 中所有 DSS 交换机上都配置该 VLAN。不要在非 DSS 交换机上配置在 DSS 交换机上重定向用于策略的 VLAN,以确保策略的正确执行和流量流向。未被重定向用于策略的 VLAN 可以在 DSS 和非 DSS 交换机上都配置。
在 fabric 内实现无处不在的主机移动性要求所有叶子和接入交换机支持相同的功能,但在混合环境中这是不可能的。DSS 有状态防火墙安全策略在非 DSS 交换机上不可用,因此在 DSS 和非 DSS 交换机混合的网络中,虚拟机的移动必须受到限制。例如,使用 VMware 的分布式资源调度器(DRS)等动态工具时,应确保虚拟交换机和端口组资源已定义,以防止需要防火墙服务的虚拟机客户机自动移动到未连接 DSS 交换机的虚拟机宿主机。通过在 hypervisor 上维护单独的分布式虚拟交换机,是限制此类移动的有效方法。
工作负载微分段
微分段允许在同一 hypervisor 上托管的虚拟机(VM)之间强制执行 PSM 防火墙策略。在标准配置下,同一 hypervisor 上安装的虚拟机之间的流量不会转发到交换机。为了实现微分段,采用私有 VLAN(PVLAN)策略,强制虚拟机的流量必须经过连接到 hypervisor 的上游 DSS 交换机。启用主 PVLAN 的 SVI 上的代理 ARP 允许在同一私有 VLAN 内的主机通过 DSS 交换机进行通信。这一策略实现了在同一 hypervisor 上的主机之间应用入口和出口防火墙策略。
在使用 Layer 2 两层拓扑时,只能对微分段流量应用出口策略,因为 VLAN SVI 配置在核心层,而 CX 10000 的策略引擎位于接入层。
在使用 EVPN-VXLAN 拓扑时,除了出口策略外,还可以对微分段流量应用入口策略,因为每个叶子交换机上的 VLAN 网关 IP 使用活跃网关功能进行配置。
PVLAN 微分段策略还支持在容器之间强制执行策略。
fabric 编排器策略自动化
HPE Aruba Networking Fabric 编排器是一个基于 GUI 的管理工具,用于构建和维护数据中心交换机配置。Fabric 编排器的自动化工具简化了 spine-and-leaf 和 Layer 2 两层拓扑,以及 EVPN-VXLAN 叠加层的构建。Fabric 编排器的监控工具提供当前运行状态的洞察,并协助故障排除。Fabric 编排器也是一个功能全面的数据中心策略管理工具。与 PSM 和 AOS-CX 操作系统的 API 集成,实现对 DSS 防火墙策略和交换机 ACL 的管理。
额外的 VMware vSphere API 集成增强了 Fabric 编排器的策略管理能力,使 VMware 管理员可以在不需要与网络或安全组协调的情况下,将 DSS 策略集分配给单个虚拟机客户机。
Fabric 编排器将策略分配给端点组对象,这些对象是一组或多组 IP 地址。一个特殊的动态端点组可以根据虚拟机客户机上的虚拟机标签自动从 vCenter 获取虚拟机 IP 地址。当 VMware 管理员分配或修改虚拟机标签时,Fabric 编排器会自动更新 IP 分配和相关端点组。这些更改会由 Fabric 编排器传递给 PSM 和交换机。
PSM 策略注意事项
策略中的规则按其在列表中的顺序应用。规则集末尾会隐式应用“全部拒绝”规则。使用频率较高的规则应放在列表前面。
定义 PSM 网络 时,会将所有相关 VLAN 的所有流量重定向到 Pensando DPU 防火墙,如上所述。在构建策略规则集时,必须考虑所有 VLAN 成员的网络需求。
配置入口策略时,策略适用于目的地 VLAN 中的所有主机的任何路由或 VXLAN 转发的 Layer 2 流量,包括来自数据中心外部的流量。
配置出口策略时,策略适用于由 VLAN 中的主机发起的所有流量,因此必须考虑数据中心内外的所有目的地,包括同一 VLAN 上的所有主机。在定义出口策略时,需要允许基础服务如 DNS、日志和认证的规则。
在 VM 客户机之间应用防火墙策略时,数据中心设计必须使用 PVLAN 微分段或将需要策略的虚拟机划分到不同的 VLAN。微分段强制同一 hypervisor 上的虚拟机流量必须经过 DSS 交换机,从而允许应用策略。不同 VLAN 的虚拟机也会将流量发送到 DSS 交换机进行检查。
建议对特定的执行方向只应用一个 PSM 策略级别(网络 或 VRF)。在 VRF 级别定义策略的主要优势是可以用单一策略代表整个数据中心的完整规则集,且只有一个执行方向。在 网络 级别定义策略可以减小单个策略的规模,并确保应用于一个 网络 的策略不会影响其他 网络。
在单一方向上混合策略级别可能会增加复杂性和规则重复,但完全支持策略级别的混合。在两个级别都定义策略时,建议在 网络 级别的策略中在“允许任何”规则之前定义一条规则,允许任何流量。位于“允许任何”规则上方的规则应使用“拒绝”操作。这样,VRF 级别的策略可以定义在整个 fabric 内允许的内容,而在 网络 级别应用更细粒度的拒绝限制。
最佳实践是在将策略应用到网络之前,先定义一整套完整的规则。如果规则集不完整,可以先应用“允许所有”规则以收集观察到的流量日志。通过在“允许所有”规则上方插入允许更具体流量的规则,可以构建完整的规则集。当没有想要的流量触发底部的“允许所有”规则时,应将其删除。
DSS 最佳实践
建议使用 CX 10000 的带外管理(OOBM)端口进行管理平面通信。这确保了交换机配置和策略变更不会无意中阻断交换机的可达性,同时提供了恢复操作错误的通信路径。当需要带内管理时,应在 CX 10000 上配置 ip source-interface psm,以允许通过数据平面进行管理通信。
当在 DSS 交换机管理 IP 接口和 PSM 之间放置防火墙或访问控制列表时,必须允许 DSS 和 PSM 之间在多个 TCP 端口上的通信,以确保正常操作。所需开放的端口列在《HPE Aruba Networking CX 10000 用户指南》的附录 B 中。
时间同步对于保持 DSS 交换机与 PSM 的注册至关重要。应在 CX 10000 交换机和 PSM 上配置相同的 NTP 服务器,以避免注册问题。
PSM 在设置和测试期间可能会消耗日志。生产网络应将防火墙日志导出到外部收集器。Syslog 和 IPFix 收集器必须在 DSS 交换机的默认 VRF 上可达。
使用对称 IRB 时,所有用于策略执行的 VLAN 都应在 fabric 中的所有 DSS 交换机上存在,并在所有 VLAN 接口上配置主动网关。
在对 NFS 存储流量应用策略时,应启用相关规则的会话复用,以确保 NFS 的正常运行。