Entenda a implantação do firewall virtual vSRX com a Nutanix
Visão geral da plataforma Nutanix
A Nutanix Virtual Computing Platform é um sistema de computação e armazenamento convergente e em escala que é criado para hospedar e armazenar máquinas virtuais (VMs).
Todos os nós em um cluster Nutanix convergem para entregar um pool unificado de armazenamento hierárquico e apresentar recursos às VMs para acesso contínuo. Uma arquitetura global de sistema de dados integra cada novo nó no cluster, permitindo que você escalone a solução para atender às necessidades de sua infraestrutura. A Nutanix oferece suporte a VMware vSphere (ESXi), Microsoft HyperV, Citrix XenServer e Nutanix Acropolis Hypervisor (AHV) (baseado em KVM).
A unidade fundamental para o cluster é um nó Nutanix. Cada nó no cluster executa um hipervisor padrão e contém processadores, memória e armazenamento local (SSDs e discos rígidos).
O cluster Nutanix tem uma arquitetura distribuída, o que significa que cada nó no cluster compartilha o gerenciamento de recursos e responsabilidades de cluster. Em cada nó, existem componentes de software que executam tarefas específicas durante a operação do cluster. Todos os componentes são executados em vários nós no cluster e dependem da conectividade entre seus pares que também executam o componente. A maioria dos componentes também depende de outros componentes para obter informações.
Um VM controlador Nutanix é executado em cada nó, permitindo o agrupamento do armazenamento local de todos os nós no cluster.
Gerenciamento de dados de VM convidado
Os dados de VM são armazenados localmente e replicados em outros nós para proteção contra falhas de hardware.
Quando um VM convidado envia uma solicitação de gravação pelo hipervisor, essa solicitação é enviada ao Controlador VM no host. Para fornecer uma resposta rápida ao VM convidado, esses dados são armazenados pela primeira vez na unidade de metadados, dentro de um subconjunto de armazenamento. Esse cache é distribuído rapidamente pela rede Ethernet GbE de 10 Gigabits para outros impulsos de metadados no cluster. Os dados do Oplog são transferidos periodicamente para o armazenamento persistente dentro do cluster. Os dados são escritos localmente para desempenho e replicados em vários nós para alta disponibilidade.
Quando o VM convidado enviar uma solicitação de leitura pelo hipervisor, o Controlador VM lerá a cópia local primeiro, se estiver presente. Se o host não conter uma cópia local, o Controlador VM lerá em toda a rede a partir de um host que contém uma cópia. À medida que os dados remotos são acessados, eles serão migrados para dispositivos de armazenamento no host atual, para que as solicitações de leitura futuras possam ser locais.
O gerenciamento de dados de VM convidado inclui os seguintes recursos:
MapReduce tiering— O cluster Nutanix gerencia dados dinamicamente com base na frequência com que são acessados. Novos dados são salvos no nível SSD. Os dados acessados com frequência são mantidos no nível SSD e os dados antigos são migrados para o nível HDD.
A migração automatizada de dados também se aplica para ler solicitações em toda a rede. Se um VM convidado acessar repetidamente um bloco de dados em um host remoto, o controlador local VM migra esses dados para o nível SSD do host local. Essa migração não só reduz a latência da rede, mas também garante que os dados acessados com frequência sejam armazenados no nível de armazenamento mais rápido.
Live migration— A migração ao vivo de VMs, seja iniciada manualmente ou por meio de um processo automático como o vSphere DRS, é totalmente suportada pela Plataforma de Computação Virtual Nutanix. Todos os hosts dentro do cluster têm visibilidade de datatores nutanix compartilhados por meio dos VMs controladores. Os dados de VM convidados são escritos localmente, e também são replicados em outros nós para alta disponibilidade.
Se uma VM for migrada para outro host, as solicitações de leitura futuras serão enviadas a uma cópia local dos dados, se eles existirem. Caso contrário, a solicitação é enviada por toda a rede para um host que contém os dados solicitados. À medida que os dados remotos são acessados, os dados remotos são migrados para dispositivos de armazenamento no host atual, para que as futuras solicitações de leitura sejam locais.
High availability (HA)— A redundância de dados integrada em um cluster Nutanix oferece suporte à alta disponibilidade fornecida pelo hipervisor. Se um nó falhar, todos os VMs protegidos por alta disponibilidade podem ser reiniciados automaticamente em outros nós no cluster. O sistema de gerenciamento de hipervisor, como o vCenter, seleciona um novo host para as VMs, que podem ou não conter uma cópia dos dados de VM.
Virtualization management VM high availability— No gerenciamento de virtualização VM de alta disponibilidade, quando um nó fica indisponível, as VMs que estão sendo executadas nesse nó são reiniciadas em outro nó no mesmo cluster.
Normalmente, uma falha de entidade é detectada por seu isolamento da rede (a falha em responder a constantes falhas). O gerenciamento de virtualização garante que, no máximo, uma instância da VM esteja sendo executada em qualquer ponto durante um failover. Essa propriedade evita que A E/S de rede e armazenamento simultâários possam levar à corrupção.
O gerenciamento de virtualização VM de alta disponibilidade implementa o controle de admissão para ajudar a garantir que, em caso de falha no nó, o restante do cluster tenha recursos suficientes para acomodar as outras VMs.
Datapath redundancy— O cluster Nutanix seleciona automaticamente o caminho ideal entre um host de hipervisor e seus dados de VM convidados. A VM controladora tem vários caminhos redundantes disponíveis, o que torna o cluster mais resiliente a falhas.
Quando disponível, o caminho ideal é através do Controlador VM local até dispositivos de armazenamento locais. Em algumas situações, os dados não estão disponíveis no armazenamento local, como quando um VM convidado foi recentemente migrado para outro host. Nesses casos, o Controlador VM direciona a solicitação de leitura em toda a rede para o armazenamento em outro host por meio do Controlador VM desse host.
A redundância de datapath também responde quando um controlador VM local não está disponível. Para manter o caminho de armazenamento, o cluster redireciona automaticamente o host para outro VM controlador. Quando o Controlador VM local volta on-line, o datapath é devolvido a esta VM.
Implantação de firewall virtual vSRX com visão geral da Nutanix
Este tópico fornece uma visão geral da implantação do firewall virtual vSRX na Nutanix Enterprise Cloud.
O firewall virtual vSRX oferece a mesma segurança avançada completa que os firewalls físicos da Série SRX da Juniper Networks, mas em um fator de forma virtualizado. O manuseio acelera até 100 Gbps, tornando-o o firewall virtual mais rápido do setor. O firewall virtual vSRX com a Nutanix oferece:
Uma única plataforma que oferece alto desempenho e escala previsível para qualquer carga de trabalho virtual.
Redes e segurança de alto desempenho para data centers virtuais em escala.
Flexibilidade com suporte multi-hypervisor (Hyper-V, ESXi e Acropolis Hypervisor) e um portfólio completo de dispositivos para a combinação certa de recursos de computação e armazenamento.
VMs que continuam funcionando e estão protegidos com backups centrados em VM e recuperação integrada de desastres.
Arquitetura inovadora de malha virtual de chassi com recursos de automação para gerenciamento simplificado.
Implementações manuais, rígidas e estáticas de conectividade e segurança podem funcionar em ambientes de rede tradicionais. Na era multinuvem, no entanto, onde os requisitos de aplicativos são altamente dinâmicos, a segurança de rede deve ser um parceiro ágil e escalável para a computação e armazenamento.
As multinuvem corporativas normalmente empregam soluções de segurança de perímetro, como a Nutanix Enterprise Cloud, para bloquear ameaças contidas no tráfego norte-sul que entram ou saem do HCI. Por mais eficazes que sejam, essas soluções não podem se defender contra ameaças introduzidas por máquinas virtuais comprometidas (VMs) que infectam o fluxo de tráfego leste-oeste dentro do próprio data center, entre aplicativos e serviços. Se essas ameaças não forem identificadas e tratadas em tempo hábil, elas poderão comprometer aplicativos de missão crítica e levar à perda de dados confidenciais, causando danos irreparáveis à receita e à reputação de uma organização.
O firewall virtual vSRX trabalha com a Nutanix Enterprise Cloud para oferecer segurança avançada, gerenciamento consistente, correção automatizada de ameaças e microssegmentação eficaz — oferecendo uma solução segura e automatizada para defender os ambientes multinuvem atuais.
A solução hiperconvergada juniper Networks-Nutanix ajuda as empresas a proteger seus ambientes multinuvem com segurança avançada, gerenciamento consistente, correção automatizada de ameaças, automação e microssegmentação eficaz. As empresas agora podem implantar facilmente uma multinuvem segura e automatizada sem a sobrecarga da complexidade operacional e de gerenciamento.
A Nutanix oferece serviços sob demanda na nuvem. Os serviços variam de infraestrutura como serviço (IaaS) e plataforma como serviço (SaaS), até aplicativos e banco de dados como serviço. A Nutanix é uma plataforma de nuvem altamente flexível, escalável e confiável. Na Nutanix, você pode hospedar servidores e serviços na nuvem como serviço de trazer sua própria licença (BYOL).
Benefícios do firewall virtual vSRX com a Nutanix
Advanced security— protege o negócio fornecendo serviços avançados de segurança, incluindo firewall de usuários e aplicativos, prevenção avançada contra ameaças e prevenção de invasões.
Microsegmentation— Emprega a microssegmentação para proteger aplicativos e se defender contra a propagação lateral de ameaças na multinuvem empresarial. Protege cargas de trabalho virtuais por meio de microssegmentação eficaz.
A microssegmentação facilita a segmentação e o controle granulares aplicando políticas de segurança no nível de host virtualizado. Do ponto de vista da segurança, quanto mais granular uma ameaça pode ser bloqueada, mais eficaz será a defesa na contenção da propagação da ameaça. Os administradores devem aumentar suas soluções de segurança com microssegmentação e correção automatizada de ameaças, fornecendo a visibilidade e o controle necessários para proteger o tráfego lateral do data center contra violações comuns.
Visibility— Oferece visibilidade e análises granulares sobre o comportamento de aplicativos, usuários e IP.
Automation— Oferece APIs ricas e bibliotecas de automação da Nutanix e da Juniper Networks para permitir fluxos de trabalho ágeis de DevOps; para oferecer uma resposta de segurança aprimorada por meio de automação unificada de fluxos de trabalho de segurança e rede.
Operational simplicity— simplifica e permite a implantação e a aplicação de políticas com gerenciamento de painel único e controles simples e intuitivos em implantações multinuvem.
Entenda a implantação do firewall virtual vSRX com Nutanix AHV
A infraestrutura hiperconvergada (HCI) da Nutanix Acropolis oferece suporte à escolha do cliente em soluções de virtualização, incluindo VMware vSphere (ESXi), Microsoft HyperV, Citrix XenServer e Nutanix AHV. AHV é um hipervisor Nutanix rico em recursos. AHV é um hipervisor pronto para a empresa baseado em tecnologia de código aberto comprovada. Nutanix AHV é uma solução de virtualização sem licença incluída na Acrópole que oferece a virtualização empresarial pronta para um mundo multinuvem. Com a Acrópole e a AHV, a virtualização é fortemente integrada ao Sistema Operacional de Nuvem Empresarial da Nutanix, em vez de ser colocada em camadas como um produto autônomo que precisa ser licenciado, implantado e gerenciado separadamente.
Tarefas comuns, como implantar, clonar e proteger VMs, são gerenciadas centralmente por meio do Nutanix Prism, em vez de usar produtos e políticas diferentes em uma estratégia fragmentada.
A Figura 1 ilustra como a segurança é fornecida para aplicativos em execução em uma sub-rede privada da Nutanix Enterprise Cloud com hipervisor AHV.
empresarial Nutanix
A solução de virtualização de AHV da Nutanix, incluindo as ferramentas de que você precisa para gerenciá-la, embarca a partir da fábrica já instalada e pronta para ir para o estado para que você possa colocar o sistema em funcionamento assim que tiver emperrado o cluster e ligado. Quando o sistema está funcionando, você pode manter o ambiente por meio de uma INTERFACE Web HTML 5 simples. O Prism Element, que está disponível em cada cluster que você implanta, integra essa UI com a solução Geral Nutanix. Você pode acessar o Prism Element por meio de cada cluster Nutanix individual através do IP de cluster ou qualquer um dos endereços IP da Nutanix Controller Virtual Machine (CVM). O Prism Element não requer nenhum software adicional; ele é integrado a todos os clusters Nutanix e incorpora suporte à AHV.
Se você preferir um mecanismo mais centralizado para gerenciar sua implantação, o Prism Central está disponível no portal da Nutanix ou pode ser implantado diretamente do cluster Nutanix. O Prism Central é um VM robusto de dispositivo de software opcional que pode ser executado em ESXi, Hyper-V ou AHV.
O Prism Central é uma plataforma e uma interface de gerenciamento hipervisor agnóstico, oferecendo uma visão agregada de seus clusters Nutanix implantados. Além de permitir que você visualize e gerencie o cluster, o Prism Central oferece insights sobre VMs, hosts, discos e contêineres ou discos agrupados.
O Prism Central oferece um único painel de vidro para gerenciar não apenas vários clusters Nutanix, mas também o hipervisor nativo nutanix, AHV. Ao contrário de outros hipervisores, a AHV não requer aplicativos ou banco de dados back-end adicionais para manter os dados renderizados na UI.
O Prism funciona em todos os nós do cluster, mas, como outros componentes, elege um líder. Todas as solicitações são encaminhadas dos seguidores ao líder usando iptáveis Linux. Isso permite que os administradores acessem o Prism usando qualquer endereço IP VM controlador. Se o líder Prism falhar, um novo líder é eleito. O líder também se comunica com os hosts ESXi para o status de VM e informações relacionadas. O Junos Space Security Director gerencia firewalls virtuais de firewall virtual vSRX implantados em cada nó de um cluster AHV da Nutanix, e atua como um gerente unificado de políticas de segurança para aplicar políticas consistentes em todos os VMs de firewall virtual vSRX em nuvens públicas e privadas baseadas em Nutanix (AWS/Azure).
O tráfego entre VMs e aplicativos é redirecionado pelo firewall virtual vSRX, permitindo que serviços de segurança de firewall de próxima geração com prevenção avançada contra ameaças sejam provisionados. As políticas de segurança aplicadas no tráfego dentro da Nutanix Enterprise Cloud aumentam o HCI da Nutanix com microssegmentação, bloqueando ameaças sofisticadas que se propagam lateralmente enquanto identificam e controlam o acesso de aplicativos e usuários. Isso permite que os administradores de segurança isolem e segmentem aplicativos e dados essenciais para a missão usando princípios de segurança zero trust.
Componentes da implantação do firewall virtual vSRX com a Nutanix
A solução conjunta com o firewall virtual vSRX e a Nutanix inclui os seguintes componentes principais:
vSRX Virtual Firewall— O firewall virtual vSRX oferece a mesma segurança avançada completa que os firewalls físicos da Série SRX da Juniper Networks, mas de forma virtualizada.
Junos Space Security Director— O Junos Space Security Director permite que os operadores de rede gerenciem uma rede distribuída de firewalls virtuais e físicos de um único local. Servindo como interface de gerenciamento para o firewall virtual de firewall virtual vSRX, o Security Director gerencia as políticas de firewall em todas as instâncias de firewall virtual vSRX. Ele inclui um painel personalizável com detalhes, mapas de ameaças e logs de eventos, oferecendo visibilidade sem precedentes da segurança da rede. O monitoramento remoto de dispositivos móveis também é possível por meio de um aplicativo móvel para sistemas Google Android e Apple iOS.
Nutanix AHV— A Nutanix AHV é uma solução de virtualização de classe empresarial incluída no Nutanix Enterprise Cloud OS, sem nenhum componente de software adicional para licenciar, instalar ou gerenciar. Começando com uma tecnologia de virtualização de código aberto comprovada, a AHV combina um datapath aprimorado para um desempenho ideal, endurecimento de segurança, virtualização de rede de fluxo e recursos de gerenciamento completos para entregar uma pilha de virtualização mais enxuta e mais poderosa, sem prateleiras dispendiosas e menores custos de virtualização.
Nutanix Manager (Nutanix Prism)— O Nutanix Prism é uma ferramenta de gerenciamento de ponta a ponta para que os administradores configurem e monitorem o cluster Nutanix e as soluções para ambientes virtualizados de data center usando o nCLI e o console Web. A capacidade de gerenciamento de ponta a ponta agiliza e automatiza fluxos de trabalho comuns, eliminando a necessidade de múltiplas soluções de gerenciamento em operações de data center. Alimentado por tecnologia avançada de aprendizado de máquina, o Prism analisa dados do sistema para gerar insights acionáveis para otimizar a virtualização e o gerenciamento de infraestrutura.
Exemplo de implantação de firewall virtual vSRX usando Nutanix AHV
Uma amostra da implantação do firewall virtual vSRX para fornecer segurança para aplicativos em execução em uma sub-rede privada da Nutanix Enterprise Cloud com hipervisor AHV é mostrada na Figura 2.
Uma imagem do firewall virtual vSRX é carregada no kernel baseado em Linux com a solução de virtualização DE AHV da Nutanix como o hipervisor. As VMs baseadas em AHV oferecem suporte à multitenancy, permitindo que você execute várias VMs de firewall virtual vSRX no host OS. A AHV gerencia e compartilha os recursos do sistema entre o sistema operacional host e os VMs de firewall virtual vSRX múltiplos.
O firewall virtual vSRX exige que você habilite a virtualização baseada em hardware em um SISTEMA OPERACIONAL de host que contenha um processador com capacidade de Tecnologia de Virtualização Intel (VT).
Os componentes básicos desta implantação incluem:
Linux bridge— Usado para o tráfego de controle da CVM
Open vSwitch (OVS) bridge(s)— Usou o tráfego VM e para se conectar a portas físicas
Physical switch— Transportes de tráfego para as portas físicas de rede no host