Comprender la implementación del firewall virtual vSRX con Nutanix
Descripción general de la plataforma Nutanix
Nutanix Virtual Computing Platform es un sistema de computación y almacenamiento convergente y escalable diseñado específicamente para alojar y almacenar máquinas virtuales (VM).
Todos los nodos de un clúster de Nutanix convergen para ofrecer un conjunto unificado de almacenamiento por niveles y recursos presentes a las máquinas virtuales para un acceso sin problemas. Una arquitectura de sistema de datos global integra cada nuevo nodo en el clúster, lo que le permite escalar la solución para satisfacer las necesidades de su infraestructura. Nutanix es compatible con VMware vSphere (ESXi), Microsoft HyperV, Citrix XenServer y el hipervisor Nutanix Acropolis (AHV) (basado en KVM).
La unidad fundamental para el clúster es un nodo de Nutanix. Cada nodo del clúster ejecuta un hipervisor estándar y contiene procesadores, memoria y almacenamiento local (SSD y discos duros).
El clúster de Nutanix tiene una arquitectura distribuida, lo que significa que cada nodo del clúster comparte la gestión de los recursos y responsabilidades del clúster. Dentro de cada nodo, hay componentes de software que realizan tareas específicas durante la operación del clúster. Todos los componentes se ejecutan en varios nodos del clúster y dependen de la conectividad entre sus pares que también ejecutan el componente. La mayoría de los componentes también dependen de otros componentes para obtener información.
Una máquina virtual del controlador Nutanix se ejecuta en cada nodo, lo que permite agrupar el almacenamiento local desde todos los nodos del clúster.
Administración de datos de VM invitada
Los datos de la máquina virtual se almacenan localmente y se replican en otros nodos para protegerlos contra errores de hardware.
Cuando una máquina virtual invitada envía una solicitud de escritura a través del hipervisor, dicha solicitud se envía a la máquina virtual del controlador en el host. Para proporcionar una respuesta rápida a la máquina virtual invitada, estos datos se almacenan primero en la unidad de metadatos, dentro de un subconjunto de almacenamiento. Esta memoria caché se distribuye rápidamente a través de la red GbE de 10 Gigabit Ethernet a otras unidades de metadatos del clúster. Los datos del Oplog se transfieren periódicamente al almacenamiento persistente dentro del clúster. Los datos se escriben localmente para mejorar el rendimiento y se replican en varios nodos para una alta disponibilidad.
Cuando la máquina virtual invitada envía una solicitud de lectura a través del hipervisor, la máquina virtual del controlador leerá primero de la copia local, si está presente. Si el host no contiene una copia local, la máquina virtual del controlador leerá a través de la red desde un host que sí contenga una copia. A medida que se accede a los datos remotos, se migrarán a dispositivos de almacenamiento en el host actual, de modo que las futuras solicitudes de lectura puedan ser locales.
La administración de datos de VM invitada incluye las siguientes características:
MapReduce tiering—El clúster de Nutanix gestiona dinámicamente los datos en función de la frecuencia con la que se accede a ellos. Los datos nuevos se guardan en el nivel SSD. Los datos a los que se accede con frecuencia se guardan en el nivel SSD y los datos antiguos se migran al nivel HDD.
La migración automatizada de datos también se aplica a las solicitudes de lectura en toda la red. Si una máquina virtual invitada accede repetidamente a un bloque de datos en un host remoto, la máquina virtual del controlador local migra esos datos al nivel SSD del host local. Esta migración no solo reduce la latencia de red, sino que también garantiza que los datos a los que se accede con frecuencia se almacenen en el nivel de almacenamiento más rápido.
Live migration—La migración en vivo de máquinas virtuales, ya sea que se inicie manualmente o a través de un proceso automático como vSphere DRS, es totalmente compatible con Nutanix Virtual Computing Platform. Todos los hosts del clúster tienen visibilidad de los almacenes de datos compartidos de Nutanix a través de las máquinas virtuales del controlador. Los datos de las máquinas virtuales invitadas se escriben localmente y también se replican en otros nodos para una alta disponibilidad.
Si se migra una máquina virtual a otro host, las futuras solicitudes de lectura se envían a una copia local de los datos, si existen. De lo contrario, la solicitud se envía a través de la red a un host que contenga los datos solicitados. A medida que se accede a los datos remotos, los datos remotos se migran a dispositivos de almacenamiento en el host actual, de modo que las futuras solicitudes de lectura sean locales.
High availability (HA)—La redundancia de datos integrada en un clúster de Nutanix admite la alta disponibilidad proporcionada por el hipervisor. Si se produce un error en un nodo, todas las máquinas virtuales protegidas por alta disponibilidad se pueden reiniciar automáticamente en otros nodos del clúster. El sistema de administración del hipervisor, como vCenter, selecciona un nuevo host para las máquinas virtuales, que puede contener o no una copia de los datos de la máquina virtual.
Virtualization management VM high availability—En la alta disponibilidad de VM de administración de virtualización, cuando un nodo deja de estar disponible, las máquinas virtuales que se ejecutan en ese nodo se reinician en otro nodo del mismo clúster.
Normalmente, el fallo de una entidad se detecta por su aislamiento de la red (la falta de respuesta a los latidos). La administración de la virtualización garantiza que como máximo se ejecute una instancia de la máquina virtual en cualquier punto durante una conmutación por error. Esta propiedad evita las E/S simultáneas de red y almacenamiento que podrían dañarse.
Administración de virtualización La alta disponibilidad de VM implementa el control de admisión para ayudar a garantizar que, en caso de fallo del nodo, el resto del clúster tenga recursos suficientes para acomodar a las otras máquinas virtuales.
Datapath redundancy—El clúster de Nutanix selecciona automáticamente la ruta óptima entre un host de hipervisor y sus datos de VM invitada. La máquina virtual del controlador tiene varias rutas redundantes disponibles, lo que hace que el clúster sea más resistente a los errores.
Cuando está disponible, la ruta óptima es a través de la máquina virtual del controlador local a los dispositivos de almacenamiento local. En algunas situaciones, los datos no están disponibles en el almacenamiento local, como cuando una máquina virtual invitada se migró recientemente a otro host. En esos casos, la máquina virtual del controlador dirige la solicitud de lectura a través de la red al almacenamiento en otro host a través de la máquina virtual del controlador de ese host.
La redundancia de ruta de datos también responde cuando una máquina virtual de controlador local no está disponible. Para mantener la ruta de almacenamiento, el clúster redirige automáticamente el host a otra máquina virtual del controlador. Cuando la máquina virtual del controlador local vuelve a estar en línea, la ruta de datos se devuelve a esta máquina virtual.
Descripción general de la implementación del firewall virtual vSRX con Nutanix
En este tema se proporciona una descripción general de la implementación de vSRX Virtual Firewall en Nutanix Enterprise Cloud.
El firewall virtual vSRX ofrece la misma seguridad avanzada con todas las funciones que los firewalls físicos de la serie SRX de Juniper Networks, pero en un factor de forma virtualizado. Maneja velocidades de hasta 100 Gbps, lo que lo convierte en el firewall virtual más rápido de la industria. El firewall virtual vSRX con Nutanix ofrece:
Una única plataforma que ofrece alto rendimiento y escala predecible para cualquier carga de trabajo virtual.
Redes y seguridad de alto rendimiento para centros de datos virtuales de escalabilidad horizontal.
Flexibilidad con compatibilidad con múltiples hipervisores (Hyper-V, ESXi y Acropolis Hypervisor) y una cartera completa de dispositivos para la combinación adecuada de recursos informáticos y de almacenamiento.
Máquinas virtuales que siguen funcionando y están protegidas con copias de seguridad centradas en VM y recuperación ante desastres integrada.
Innovadora arquitectura de estructura de chasis virtual con capacidades de automatización para una administración simplificada.
Las implementaciones de conectividad y seguridad manuales, rígidas y estáticas pueden funcionar en entornos de red tradicionales. Sin embargo, en la era de la multinube, donde los requisitos de las aplicaciones son altamente dinámicos, la seguridad de red debe ser un socio ágil y escalable para la computación y el almacenamiento.
Las multinubes empresariales suelen emplear soluciones de seguridad perimetral como Nutanix Enterprise Cloud para bloquear las amenazas contenidas en el tráfico norte-sur que entra o sale de la HCI. Por muy eficaces que sean, estas soluciones no pueden defenderse de las amenazas introducidas por máquinas virtuales (VM) comprometidas que infectan el tráfico este-oeste que fluye dentro del propio centro de datos, entre aplicaciones y servicios. Si estas amenazas no se identifican y abordan de manera oportuna, podrían comprometer las aplicaciones de misión crítica y provocar la pérdida de datos confidenciales, causando un daño irreparable a los ingresos y la reputación de una organización.
vSRX Virtual Firewall trabaja con Nutanix Enterprise Cloud para proporcionar seguridad avanzada, gestión coherente, solución automatizada de amenazas y microsegmentación efectiva, ofreciendo una solución segura y automatizada para defender los entornos multinube actuales.
La solución hiperconvergente conjunta Juniper Networks y Nutanix ayuda a las empresas a proteger sus entornos multinube con seguridad avanzada, administración consistente, remediación automatizada de amenazas, automatización y microsegmentación efectiva. Las empresas ahora pueden implementar fácilmente una multinube segura y automatizada sin la sobrecarga de la complejidad operativa y de administración.
Nutanix ofrece servicios bajo demanda en la nube. Los servicios van desde la infraestructura como servicio (IaaS) y la plataforma como servicio (SaaS), hasta la aplicación y la base de datos como servicio. Nutanix es una plataforma en la nube altamente flexible, escalable y confiable. En Nutanix, puede alojar servidores y servicios en la nube como un servicio de traiga su propia licencia (BYOL).
Beneficios del firewall virtual vSRX con Nutanix
Advanced security—Protege la empresa mediante la prestación de servicios de seguridad avanzados, incluidos firewalls de usuarios y aplicaciones, prevención avanzada de amenazas y prevención de intrusiones.
Microsegmentation—Emplea la microsegmentación para proteger las aplicaciones y defenderse contra la propagación lateral de amenazas en la multinube empresarial. Protege las cargas de trabajo virtuales mediante una microsegmentación efectiva.
La microsegmentación facilita la segmentación granular y el control mediante la aplicación de políticas de seguridad a nivel de host virtualizado. Desde una perspectiva de seguridad, cuanto más granular sea el nivel en el que se pueda bloquear una amenaza, más efectiva será la defensa para contener la propagación de la amenaza. Los administradores deben aumentar sus soluciones de seguridad con microsegmentación y solución automatizada de amenazas, proporcionando la visibilidad y el control necesarios para proteger el tráfico lateral del centro de datos de infracciones comunes.
Visibility: proporciona visibilidad y análisis granulares del comportamiento de las aplicaciones, los usuarios y la IP.
Automation—Ofrece API enriquecidas y bibliotecas de automatización de Nutanix y Juniper Networks para habilitar flujos de trabajo ágiles de DevOps; para ofrecer una respuesta de seguridad mejorada a través de la automatización unificada de los flujos de trabajo de seguridad y redes.
Operational simplicity—Optimiza y permite el despliegue y la aplicación de políticas con administración de panel único y controles sencillos e intuitivos en los despliegues multinube.
Comprender la implementación del firewall virtual vSRX con Nutanix AHV
La infraestructura hiperconvergente (HCI) de Nutanix Acropolis admite la elección del cliente en soluciones de virtualización, incluyendo VMware vSphere (ESXi), Microsoft HyperV, Citrix XenServer y Nutanix AHV. AHV es un hipervisor Nutanix rico en funciones. AHV es un hipervisor listo para la empresa basado en tecnología de código abierto probada. Nutanix AHV es una solución de virtualización sin licencia incluida en Acropolis que ofrece virtualización empresarial lista para un mundo multinube. Con Acropolis y AHV, la virtualización está estrechamente integrada en el sistema operativo Nutanix Enterprise Cloud en lugar de superponerse como un producto independiente que necesita ser licenciado, implementado y administrado por separado.
Las tareas comunes, como la implementación, la clonación y la protección de máquinas virtuales, se administran de forma centralizada a través de Nutanix Prism, en lugar de utilizar productos y políticas dispares en una estrategia fragmentada.
La figura 1 ilustra cómo se proporciona seguridad para las aplicaciones que se ejecutan en una subred privada de Nutanix Enterprise Cloud con hipervisor AHV.
La solución de virtualización Nutanix AHV, que incluye las herramientas que necesita para administrarla, se envía de fábrica ya instalada y lista para funcionar para que pueda tener el sistema en funcionamiento tan pronto como haya conectado el clúster en rack y encendido. Cuando el sistema está en funcionamiento, puede mantener el entorno a través de una sencilla interfaz de usuario web HTML 5. Prism Element, que está disponible en cada clúster que despliegue, integra esta interfaz de usuario con la solución general de Nutanix. Puede acceder a Prism Element a través de cada clúster individual de Nutanix a través de la IP del clúster o cualquiera de las direcciones IP individuales de la máquina virtual del controlador Nutanix (CVM). Prism Element no requiere software adicional; está integrado en cada clúster de Nutanix e incorpora soporte para AHV.
Si prefiere un mecanismo más centralizado para administrar su despliegue, Prism Central está disponible en el portal de Nutanix o se puede implementar directamente desde el clúster de Nutanix. Prism Central es una robusta máquina virtual de dispositivo de software opcional que se puede ejecutar en ESXi, Hyper-V o AHV.
Prism Central es tanto una plataforma como una interfaz de administración independiente del hipervisor, que proporciona una vista agregada de los clústeres de Nutanix implementados. Además de permitirle ver y administrar el clúster, Prism Central proporciona información sobre máquinas virtuales, hosts, discos y contenedores o discos agrupados.
Prism Central proporciona un único panel de cristal para gestionar no solo varios clústeres de Nutanix, sino también el hipervisor nativo de Nutanix, AHV. A diferencia de otros hipervisores, AHV no requiere aplicaciones back-end adicionales ni bases de datos para mantener los datos representados en la interfaz de usuario.
Prism se ejecuta en todos los nodos del clúster, pero, al igual que otros componentes, elige un líder. Todas las solicitudes se reenvían de los seguidores al líder utilizando iptables de Linux. Esto permite a los administradores acceder a Prism utilizando cualquier dirección IP de VM del controlador. Si el líder de Prism falla, se elige un nuevo líder. El líder también se comunica con los hosts ESXi para conocer el estado de la máquina virtual e información relacionada. Junos Space Security Director administra los firewalls virtuales del firewall virtual vSRX desplegados en cada nodo de un clúster AHV de Nutanix y actúa como un administrador de políticas de seguridad unificado para aplicar políticas coherentes en todas las máquinas virtuales del firewall virtual vSRX en nubes privadas y públicas basadas en Nutanix (AWS/Azure).
El tráfico entre las máquinas virtuales y las aplicaciones se redirige a través del firewall virtual vSRX, lo que permite aprovisionar servicios de seguridad de firewall de última generación con prevención avanzada de amenazas. Las políticas de seguridad aplicadas al tráfico dentro de Nutanix Enterprise Cloud aumentan la HCI de Nutanix con microsegmentación, bloqueando amenazas sofisticadas que se propagan lateralmente mientras identifican y controlan el acceso de aplicaciones y usuarios. Esto permite a los administradores de seguridad aislar y segmentar aplicaciones y datos de misión crítica utilizando principios de seguridad de confianza cero.
Componentes de la implementación del firewall virtual vSRX con Nutanix
La solución conjunta con el firewall virtual vSRX y Nutanix incluye los siguientes componentes clave:
vSRX Virtual Firewall—El firewall virtual vSRX ofrece la misma seguridad avanzada con todas las funciones que los firewalls físicos de la serie SRX de Juniper Networks, pero de forma virtualizada.
Junos Space Security Director—Junos Space Security Director permite a los operadores de red gestionar una red distribuida de firewalls virtuales y físicos desde una única ubicación. Security Director, que actúa como interfaz de administración para el firewall virtual del firewall virtual vSRX, administra las políticas de firewall en todas las instancias del firewall virtual vSRX. Incluye un panel personalizable con detalles, mapas de amenazas y registros de eventos, lo que proporciona una visibilidad sin precedentes de la seguridad de la red. El monitoreo móvil remoto también es posible a través de una aplicación móvil para los sistemas Google Android y Apple iOS.
Nutanix AHV—Nutanix AHV es una solución de virtualización de clase empresarial incluida con el sistema operativo Nutanix Enterprise Cloud, sin componentes de software adicionales para licenciar, instalar o administrar. Comenzando con la tecnología de virtualización de código abierto comprobada, AHV combina una ruta de datos mejorada para un rendimiento óptimo, refuerzo de la seguridad, virtualización de red de flujo y funciones de administración completas para ofrecer una pila de virtualización más ágil y potente, sin costoso software de estantería y menores costos de virtualización.
Nutanix Manager (Nutanix Prism)—Nutanix Prism es una herramienta de administración integral para que los administradores configuren y monitoreen el clúster de Nutanix y las soluciones para entornos de centros de datos virtualizados mediante la nCLI y la consola web. La capacidad de administración de extremo a extremo optimiza y automatiza los flujos de trabajo comunes, eliminando la necesidad de múltiples soluciones de administración en las operaciones del centro de datos. Impulsado por tecnología avanzada de aprendizaje automático, Prism analiza los datos del sistema para generar información procesable para optimizar la virtualización y la administración de la infraestructura.
Ejemplo de implementación del firewall virtual vSRX con Nutanix AHV
En la figura 2 se muestra un ejemplo de implementación de vSRX Virtual Firewall para proporcionar seguridad a las aplicaciones que se ejecutan en una subred privada de Nutanix Enterprise Cloud con hipervisor AHV.
Se carga una imagen de firewall virtual vSRX en el kernel basado en Linux con la solución de virtualización AHV de Nutanix como hipervisor. Las máquinas virtuales basadas en AHV admiten multitenencia, lo que permite ejecutar varias máquinas virtuales de vSRX Virtual Firewall en el sistema operativo host. AHV administra y comparte los recursos del sistema entre el sistema operativo host y las múltiples máquinas virtuales del firewall virtual vSRX.
El Firewall virtual vSRX requiere que habilite la virtualización basada en hardware en un sistema operativo host que contenga un procesador compatible con la Tecnología de virtualización Intel (VT).
Los componentes básicos de esta implementación incluyen:
Linux bridge—Se utiliza para el tráfico de control CVM
Open vSwitch (OVS) bridge(s)—Se utiliza para el tráfico de VM y para conectarse a puertos físicos
Physical switch: transporta tráfico de entrada o salida a los puertos de red físicos del host