Коли у 2012 році VMware був придбаний невеличкий стартап Nicira, створений ентузіастами, що придумали, як поширити концепцію серверної віртуалізації та віртуалізації сховища на мережі, мало хто міг передбачити у який потужний напрям виросте ідея й який вона матиме вплив на сучасну побудову мульти-хмарних корпоративних середовищ:
NSX – продукт, що динамічно розвивається, постійно нарощує власне портфоліо функцій, сервісів та можливостей, утворює вкрай вдалі колаборації зі сторонніми рішеннями. VMware пильно слідкує за регулярним та якісним оновленням свого улюбленого напряму, й сьогодні ми поговоримо про те, що саме з’явилось в ньому з останніми оновленнями.
Нове в NSX
VMware NSX – це програмно-визначене мережеве рішення VMware, що дозволяє програмно створювати віртуальні мережі й керувати ними, спираючись на повний перелік мережевих сервісів з Layer 2 до Layer 7 (наприклад, комутацію, маршрутизацію, контроль доступу, файєрволінг, QoS тощо), включно з автоматизацією процесів:
Мажорне оновлення до 4-ї версії NSX запропонувало нові функції й можливості до всіх вертикалей продукту: мережі, безпеки та сервісів. Сьогодні ми всім їм приділимо належну увагу, а крім того й актуальному релізу NSX 4.0.1.1, але розпочнемо з зауваження, що змінилась, навіть, сама назва: замість «VMware NSX-T Data Center» ми тепер будемо вживати просто «VMware NSX». Вона краще відображає багатогранну цінність NSX для клієнтів і відтепер саме її будемо бачити в графічному інтерфейсі користувача:
Ця косметична зміна не вплине на характеристики чи функціональність продукту, чи на API, що впливають на сумісність або взаємодію найновішої версії зі старішими. Але перейдемо до більш змістовних й цікавих новин.
Мережевий рівень L3
- Розширення підтримки IPv6. Management Plane, що дивиться назовні через IPv6 представляє підтримку для IPv6-зв’язку з зовнішніх систем з management-кластером NSX (лише Local Manager). Відтепер NSX Manager підтримує дуал-стек (IPv4 і IPv6) в зовнішньому management-інтерфейсі. Але розгортання тільки IPV6 у цьому релізі не підтримуються. Доступна підтримка наступних зовнішніх комунікацій та систем:
- Доступ до NSX User Interface (UI) через IPv6
- Доступ до NSX API через IPv6:
- IPv6-зв’язок з vCenter. У цьому релізі служби та клієнти vCenter, що використовують vCenter Extension Manager для зв’язку з NSX Manager, такі як vLCM, WCP та Supervisor Cluster, будуть користуватися IPv4 для підключення до NSX Manager.
- IPv6 syslog
- IPv6 SNMP
- IPv6 SSH
- IPv6 SFTP (Backup & Restore)
- IPv6-зв’язок з DNS-сервером
- IPv6-зв’язок з NTP-сервером
- IPv6 VIP кластеру
- IPv6-зв’язок з серверами LDAP/AD для автентифікації користувача та IDFW
- IPv6-взаємодія з Operations tools: vRNI, vRLI та vROPs
- IPv6-підтримка телеметрії/VAC
- Зміна префікса транзитної підмережі T0-T1 після створення Tier0. Внутрішня зміна префікса транзитної підмережі T0-T1 після створення Tier0 дозволяє користувачам змінювати префікс, що використовується після створення Т0. До цього моменту користувач міг змінювати дефолтне значення (100.64.0.0/16) тільки під час створення Tier-0.
- Удосконалення режиму EVPN. Додано підтримку двох нових топологій режиму сервера маршрутизації EVPN:
- Статичних маршрутів між шлюзом VRF Tier-0 та розміщеним VNF
- Northbound L3ECMP для балансування трафіку від гіпервізорів ESXi до шлюзів дата-центру
- Додано протокол виявлення збоїв BFD IPv6 – BFD. Допоможе в швидкому виявленні збоїв в forward path та конвергенції. Додана підтримка BFD для IPv6 BGP сусідів і статичних маршрутів IPv6.
Акселерація на основі DPU
Відтепер NSX пропонує підтримку блоків обробки даних (DPU), щоб розвантажити різний функціонал NSX та використовувати більше потужностей CPU хоста для віртуалізації обчислень:
До того ж DPU прискорює роботу мережі. Підтримувані прискоренням на основі DPU можливості:
- Мережа – оверлейні та VLAN-сегменти, розподілена маршрутизація IPv4 та IPv6, NIC-тімінг по всім SmartNIC/DPU-портам
- Видимість та операції – Traceflow, IPFIX, захоплення пакетів, порт-міроринг, статистика
- Uniform Passthrough (UPT V2) – можливість оминути гіпервізор ESXi рівня хоста та отримати прямий доступ до DPU, що збільшить продуктивність без пожертви отримуваними від vSphere та NSX функціями
При цьому один DPU розрахований на хост, що споживає один VDS. Підтримувані вендори:
- NVIDIA Bluefield-2 (25ГБ тільки NIC моделі)
- AMD / Pensando (25ГБ та 100ГБ моделі NIC)
Щодо безпеки, Distributed Firewall та Distributed IDS/IPS у розрізі цієї нової підтримки ще у стадії технічних тестувань.
Мережеві сервіси
- Підтримка NAT для VPN на основі політики на T0/T1 шлюзі. Підтримка NAT для VPN на основі політики на T0/T1 шлюзі дозволяє конфігурувати правило DNAT/NO-DNAT, яке відповідає трафіку, декапсульованому з VPN на основі політики. У той час, коли ми хочемо перевести Destination IP-адресу для трафіку, декапсульованого з VPN, ми можемо налаштувати DNAT/NO-DNAT і вибрати «match» для VPN на основі політики. Поведінка за замовчуванням буде збережена для обходу, що означає, що вона не відповідає трафіку, декапсульованому з VPN на основі політики.
- Удосконалення робочого процесу налаштування інтерфейсу користувача DHCP. Удосконалення робочого процесу налаштування інтерфейсу користувача DHCP пропонує простішу та легшу конфігурацію локального сервера DHCP; сервера DHCP шлюзу або DHCP Relay. Це також пропонує кращу видимість і можливості моніторингу.
- Standby-переміщення DHCP. Standby-переміщення DHCP покращує доступність DHCP-сервера, дозволяючи конфігурувати резервне переміщення, де в разі збою буде обрано новий резервний Edge.
Платформа Edge
- API Edge relocate. API Edge relocate надає можливість при переході ВМ Edge в maintenance-режим обережно перемістити всі автоматично призначені SR T1 на інші ВМ Edge.
- Підтримка параметрів Edge Node під час оновлення. Після оновлення всі відредаговані користувачем параметри Edge Node буде збережено й не буде скинуто до значень за замовчуванням.
- Підтримка SmartNIC для ВМ Edge. Драйвер DPDK vmxnet3 оновився для підтримки pNIC на основі DPU (SmartNIC) для інтерфейсів шляхів даних у форм-факторі ВМ Edge. Трафік через ВМ Edge отримає переваги від такого прискорення апаратного забезпечення. Можна увімкнути лише на усіх інтерфейсах одразу.
- Додані події та сигнали тривоги. З’явилися нові сигнали тривоги задля покращення видимості Edge-ноди та траблшутінгу щодо утилізації CPU, комунікації між NSX Manager/CCP та NSX Edge Node, максимуму маршрутів IPv4 та IPv6 в таблиці маршрутизації та максимальної кількості анонсованих префіксів BGP.
- Nvidia ConnectX-6. Додана підтримка Nvidia ConnectX-6 для Bare Metal Edge, що дає більшу пропускну здатність.
- Stateful Active-Active Edge Services. Підтримка stateful-сервісів на шлюзах Tier-0 та Tier-1 в режимі Active-Active HA. Ці сервіси підтримують: L4/L7 Gateway Firewall, фільтрацію URL, перевірку NAT та TLS:
Distributed Firewall
- Блокування зловмисних IP-адрес у Distributed Firewall. Блокування зловмисних IP-адрес у Distributed Firewall — це нова функція, яка дозволяє блокувати трафік до та з шкідливих IP-адрес. Працює шляхом прийому завантаження шкідливих IP-адрес, наданого Vmware Contexa. Це завантаження автоматично оновлюється кілька разів на день, щоб середовище було захищене від нових шкідливих IP-адрес. Для існуючих середовищ цю функцію потрібно буде увімкнути явно. Для нових середовищ вона увімкнена за замовчуванням.
- Розширення підтримки фізичних серверів NSX Distributed Firewall. NSX Distributed Firewall тепер додав підтримку для таких версій фізичних серверів: RHEL 8.2, 8.4, Ubuntu 20.04, CentOS 8.2, 8.4.
- L7 AppID. Додаткові AppID були додані.
- Аналіз FQDN. Покращене співставлення IP, коли ланцюжок розв’язання FQDN включає кілька CNAME.
- Сигнали тривоги. З’явилися додаткові сигнали тривоги, пов’язані з підключеннями в секунду та правилами файєрволу на кожен доданий vNIC/хост.
Виявлення та запобігання вторгненням (IDS/IPS)
- Сигнали тривоги. Додані додаткові сигнали тривоги, пов’язані з наближенням/перетином порогових значень CPU та мережі.
- Конфігурація надмірної підписки. Механізм IDS/IPS тепер можна глобально налаштувати на відключення або обхід трафіку в разі надмірної підписки CPU. Цю конфігурацію також можна застосувати на рівні правила, якщо потрібна деталізація поведінки.
Федерація
- Підтримка на Local Manager фізичних серверів. Фізичні сервери відтепер підтримуються на Local Manager, що є частиною Federation. Вони наразі можуть бути частиною визначених у Global Manager груп, і потім ці групи можна використовувати в правилах файєрвола (DFW або Gateway Firewall).
- Додано три пов’язані з файєрволами функції з Global Manager. Увімкнення/вимкнення файєрволів з Global Manager для кожного сайту, підтримка списку виключень для рабочих навантажень з Distributed Firewall та правила DFW на основі часу, які можна надавати з GM.
Вставка служби
Додаткові сигнали тривоги у Service Insertion. Service Insertion відтепер отримала додаткові сигнали тривоги для моніторингу працездатності та рухливості своїх компонентів.
Платформа застосунків NSX та асоційованих служб
- Сумісність NSX 4.0.0.1 та NSX Application Platform 3.2.1. NSX 4.0.0.1 сумісний із версією NSX Application Platform 3.2.1 разом із відповідними функціями NSX (NSX Intelligence, NSX Network Detection and Response, NSX Prevention Malware та NSX Metrics). Якщо у вжитку NSX Application Platform 3.2.0, необхідно оновитися до версії 3.2.1 або новішої, перш ніж буде доступне оновлення NSX до 4.0.0.1.
Інсталяція та оновлення
- Пришвидшення оновлення. Задля більш ефективного використання вікон техобслуговування час апгрейдів відтепер скоротився на 10%.
- Нові сигнали тривоги щодо статусу життєвого циклу фізичних серверів. У моніторингу з’явилися нові сигнали тривоги щодо статусу життєвого циклу – встановлення, видалення, оновлення.
- Покращення юзабіліті. Зросла зручність використання завдяки можливості створювати системні сповіщення щодо доступності нових версій NSX.
- Відмітка в NSX UI про Partial Maintenance Mode для vSphere with Tanzu. Тепер можна отримувати сповіщення про операції vCenter, зокрема такі як vSphere with Tanzu Partial Maintenance Mode, у інтерфейсі користувача NSX, задля уникнення збоїв у роботі під час техобслуговування хоста.
- Гнучкість оновлення вибраних груп TN у кластерах під час оновлення NSX. Відтепер можна створювати групи Edge чи Host разом з можливістю оновлювати обрані такі групи за один раз, не прив’язуючись до попередньої послідовності. Але у таких групах можуть бути або Edge, або хости – не їх комбінація. І все одно NSX Manager оновлювати доведеться лише після апгрейду всіх Edge та хостів.
- З’явилась підтримка SSH-ключів/сертифікатів при резервному копіюванні NSX. На додачу до даних облікових записів у якості опції, що обирається, можна вказувати SSH-ключі/сертифікати при бекапуванні методів серверної автентифікації.
Операції та моніторинг
- Підтримка Live Traffic Analysis & Traceflow для VPN. Можна отримувати аналіз трафіку та підтримувати traceflow для VPN як наскрізного перегляду пакетів у реальному часі в тунелі VPN, з використанням відповідних інструментів.
- Підтримка Edge для аналізу трафіку в режимі реального часу. Інструмент Live Traffic Analysis може використовуватися з метою захоплення пакету на інтерфейсах NSX Edge.
- Вдосконалення подій, сигналів тривоги та операцій. Поточний реліз виправив деякі відомі проблеми з інструментом Live Traffic Analysis та Traceflow. А сповіщення щодо високої затримки додані в керуючу та мережеву інфраструктуру.
- Відтепер можна конфігурувати посилання на статті КБ як частину кроків рекомендованих дій при сигналах тривоги.
- Додані декілька метрик моніторингу мережі. Щодо NSX Edge (16 додаткових метрик, включно з метриками кешу потоку, зайнятості черги для fast path інтерфейсів та пропускної здатності на вході та виході fast path інтерфейсів NSX Edge) з NSX Application Platform – Metrics API, щодо моніторингу пакетів транспортних нод NSX Edge та зі статистики NSX Tier0 й Tier1 Gateway Interface (IPv4 проти IPv6 пакетів в секунду).
VPN
З’явився моніторинг VPN. Дає видимість статистики VPN, а саме:
- статус тунелю (UP чи Down)
- Rx/Tx байтів в секунду
- Rx/Tx пакетів в секунду
- швидкість скидання пакетів
- причини скидання
ААА та платформа безпеки
Покращення Local User Password Configuration. NSX підтримує додаткові вимоги до складності, щоб відповідати новим галузевим нормам.
Мульти-тенантність в NSX
Проекти в NSX – це сегментування певного його інстансу шляхом створення Project на додачу до дефолтного контексту, ще один вбудований механізм ізоляції:
Ідея в тому, щоб різні користувачі могли працювати з одним інстансом NSX, й при цьому мали доступ лише до своїх власних логічних об’єктів (Tier-1, сегментів, груп, правил файєрволів тощо) та не могли переглядати або редагувати конфігурації за межами своїх проектів, якщо адміністратор не дозволив інше. Поки що це тільки API-функція.
- Модель Provider / Tenant. Адміністратор NSX створює проекти та керує ними, і визначає кластери Edge, Tier-0 та користувачів. Він може проглядати усі об’єкти проектів та керувати безпекою платформи, застосовуючи її правила до всіх проектів (правила не змінюються користувачами).
- Multi-Tenancy Role-Based Access Control. Додані дві нові ролі: адміністратора організації та адміністратора проекту для узгодження з запровадженням мульти-тенантності на платформі.
Ліцензування
License Enforcement. Покращено виконання на рівні функцій на редакціях ліцензій NSX Firewall, що обмежує доступ до притаманних певній ліцензії можливостей. Нові користувачі мають доступ лише до тих функцій, що є в придбаній редакції. Користувачі, що вже мали доступ до відсутніх у їх ліцензії функцій, можуть лише переглядати об’єкти – створювати та редагувати їх буде заборонено.
Нове в Avi Networks
Avi дозволяє надавати мульти-хмарні служби застосунків, такі як балансування навантаження, безпека застосунків, автомасштабування, мережеві контейнери та файєрвол веб-застосунків. Рішення автоматизує доставку застосунків, гарантуючи їх доступність, безпеку та швидкість розгортання:
В результаті застосунки надаються на 90% швидше, ТСО знижується на 50%, можливості моніторингу та аналітики стають, насправді, безмежними, а людський фактор нівелюється, як такий:
Наразі Avi Vantage Platform офіційно називається VMware NSX Advanced Load Balancer – саме під такою назвою рішення доступне для завантаження на офіційній сторінці продуктів VMware й згадується як один із компонентів платформи:
Причому, воно вимагає ліцензії NSX не завжди – балансувальник навантаження Avi можна використовувати й як standalone чи у якості інтегрованого рішення в інші продукти вендора. Найсвіжішою версією NSX Advanced Load Balancer (Avi) на даний момент є 22.1.3 і прямо зараз ми перейдемо до її всебічного обговорення.
Cloud Connector
AWS
- Підтримка Instance Metadata v2 (IMDSv2). Відтепер доступна підтримка Instance Metadata v2 (IMDSv2):
- Можливість використовувати тип тому GP3 як дефолтний для AWS Elastic Block Store (EBS), що підтримує SE ВМ. З’явилась можливість використовувати тип тому GP3 як дефолтний для AWS Elastic Block Store (EBS), що підтримує SE ВМ. Шифрування Amazon EBS – це рішення, що пропонується для шифрування EBS томів. Шифрування EBS томів та їх прикріплення до типу підтримуваного інстансу шифрує дані усередині тома, всі дані переміщуються між томом та інстансом, всі снепшоти, створені з тома, і всі томи, створені з цих снепшотів. Avi Vantage підтримує включення EBS та S3 шифрування за допомогою AWS SSE-KMS, що шифрує Amazon Machine Image (AMI).
- Підтримка регіональних кінцевих точок. Наявна підтримка регіональних кінцевих точок.
GCP
- Спільна підтримка кількох мережевих карт VPC через UI. З’явилась спільна підтримка кількох мережевих карт VPC через UI.
LSC
- Підтримка DPDK для ethernet-адаптерів Mellanox ConnectX-6. З’явилась підтримка DPDK для ethernet-адаптерів Mellanox ConnectX-6. Мережеві інтерфейсні карти ConnectX® від Mellanox забезпечують економне Ethernet-підключення для хмарних інфраструктур із розумним розвантаженням та високою пропускною здатністю.
NSX-T
- Підтримка режиму ENS для розгортань VMware (Tech Preview). Наявна підтримка режиму ENS для розгортань VMware (Tech Preview).
- Загальна доступність NSX Security-only (розгортання режиму Distributed Firewall (DFW) до Distributed Virtual Port Group (DVPG) в NSX-T Cloud). Відтепер є загальна доступність NSX Security-only (розгортання режиму Distributed Firewall (DFW) до Distributed Virtual Port Group (DVPG) в NSX-T Cloud). Вимагає VMware NSX 3.2.2+.
- Масштаб віртуальних служб було збільшено з 2000 до 5000 з хмарою NSX-T у великому кластері контролера NSX Advanced Load Balancer.
Oracle
- Підтримка NSX-ALB для балансування навантаження застосунків, запущених в Oracle Cloud VMware Solution (OCVS) SDDC. Наявна підтримка NSX-ALB для балансування навантаження застосунків, запущених в Oracle Cloud VMware Solution (OCVS) SDDC. Oracle Cloud VMware Solution (OCVS) – це один з найшвидших та найбільш гнучких шляхів для розширення, міграції та запуску застосунків VMware в Oracle Cloud без змін до програм, інструментів чи процесів. Зараз Oracle Cloud VMware Solution надається з коробки з найважливішими мережевими налаштуваннями NSX, а Avi забезпечує балансування навантажень для застосунків, запущених в SDDC OCVS. Avi інтегрується як додаткове рішення з балансування навантажень, зі з’єднаними Avi Controller, NSX Manager та VMware vCenter у Oracle Cloud VMware Solution, та постачає усі переваги свого використання:
VMware vCenter / vSphere ESX
- Підтримка VMware vCenter 8.0. З’явилась підтримка VMware vCenter 8.0.
- Підтримуються сегменти NSX-T, що охоплюють декілька VDS в хмарі vCenter. Відтепер підтримуються сегменти NSX-T, що охоплюють декілька VDS в хмарі vCenter.
- Можливість зміни назви сховища даних у групі Service Engine для хмари vCenter у режимі запису за допомогою UI. Є можливість зміни назви сховища даних у групі Service Engine для хмари vCenter у режимі запису за допомогою UI.
- Можливість присвоєння визначених користувачем тегів vSphere для Service Engine у процесі створення SE. З’явилась можливість присвоєння визначених користувачем тегів vSphere для Service Engine у процесі створення SE.
Ключові функції LB
- Поля «Username»і «Password» розглядаються як конфіденційна інформація в External Health Monitors та зчитуються як змінні для запобігання несанкціонованому розкриттю даних автентифікації. Тепер поля «Username» і «Password» розглядаються як конфіденційна інформація в External Health Monitors та зчитуються як змінні для запобігання несанкціонованому розкриттю даних автентифікації:
- Введено нові «Criteria» для політик HTTP запитів і відповідей у розділі «Matching Rules» для відповідності Query з групою рядків чи користувацьким рядком в URI. Для політик HTTP запитів і відповідей у розділі «Matching Rules» введено нові «Criteria» для відповідності Query з групою рядків чи користувацьким рядком в URI. Політики запитів дозволяють маніпулювати запитами HTTP. Ці запити можуть бути змінені перед тим, як будуть напрямлені на сервер, використані як основа для перемикання вмісту або відхилені. Застосовувати їх можна лише до віртуальних служб L7, що налаштовані за допомогою профілю HTTP.
- Збільшено максимальний розмір запиту HTTP для health-моніторів з 1024 до 5120 байтів. Збільшено максимальний розмір запиту HTTP для health-моніторів з 1024 до 5120 байтів:
- Підтримка WebSockets для різних версій HTTP (від HTTP/2 Client до HTTP/1 Server). З’явилась підтримка WebSockets для різних версій HTTP (від HTTP/2 Client до HTTP/1 Server). Увімкнення WebSockets дозволяє віртуальній службі приймати запит клієнта на оновлення заголовка. Якщо сервер прослуховує WebSockets, з’єднання між клієнтом і сервером буде оновлено. WebSocket — це повнодуплексний протокол TCP. Спочатку з’єднання розпочнеться через HTTP, але після успішного оновлення всі аналізи HTTP Avi Vantage припиниться, і з’єднання розглядатиметься як звичайне з’єднання TCP.
- Обробка XFF для збереження одного або кількох заголовків X-Forwarded-For, що надходять із запитом. Надана обробка XFF для збереження одного або кількох заголовків X-Forwarded-For, що надходять із запитом. З цією опцією Avi Vantage вставлятиме заголовок X-Forwarded-For (XFF) у заголовки HTTP-запиту, коли запит передається на сервер. Значення заголовка XFF містить оригінальну IP-адресу джерела клієнта. Веб-сервери можуть використовувати цей заголовок для реєстрації взаємодії клієнта замість використання IP-адреси L3, яка неправильно відображатиме вихідну NAT-адресу Service Engine. Якщо ввімкнути цю опцію, з’явиться поле альтернативної назви XFF, яке дозволяє вставці заголовка XFF використовувати власну назву заголовка HTTP. Якщо заголовок XFF або надана настроювана назва вже існує в запиті клієнта, усі інстанси цього заголовка спочатку буде видалено. Щоб додати заголовок, не видаляючи його попередні інстанси, користуються політикою запитів HTTP:
- Опція «Enable HTTP2 Server Push» в UI. В UI з’явилась опція «Enable HTTP2 Server Push». Вона дозволяє серверу надсилати кілька ресурсів у відповідь на запит клієнта без явного запита клієнта кожного із цих ресурсів, тобто надсилати залежні ресурси упереджено, коли клієнт запитує ресурс. Це зменшує затримку, яка може виникнути через очікування кожного запиту на обслуговування ресурсу. За допомогою HTTP/2 PUSH сервер може взяти на себе ініціативу, маючи деякі правила, які запускають push у певні моменти.
- UI-підтримка налаштування максимальної кількості заголовків HTTP для запитів та відповідей у Application Profile. Наявна UI-підтримка налаштування максимальної кількості заголовків HTTP для запитів та відповідей у Application Profile:
- Підтримка об’єктом Enhanced Virtual Hosting (EVH) декількох критеріїв співпадіння поза хостом і шляхом. Об’єкт Enhanced Virtual Hosting (EVH) відтепер підтримує декілька критеріїв співпадіння поза хостом і шляхом.
- Послідовна підтримка хешу в пулах, які є членами групи пулів. З’явилась послідовна підтримка хешу в пулах, які є членами групи пулів. Нові з’єднання розподіляються між серверами за допомогою хешу, який базується на ключі, указаному в боксі під полем LB Algorithm або в спеціальному рядку, наданому користувачем через функцію DataScript avi.pool.chash. Цей алгоритм за своєю суттю поєднує балансування навантаження та постійність, що мінімізує необхідність додавання методу постійності. Він найкраще підходить для балансування навантаження великої кількості кеш-серверів із динамічним вмістом. Додавання або видалення сервера не викликає повного перерахунку хеш-таблиці:
- Підтримка UI для True Client IP в функціях безпеки Layer 7. З’явилась підтримка UI для True Client IP в функціях безпеки Layer 7:
- Можливість вибору Pool Type як Generic Application чи OAuth для конфігурації пулу. Щодо конфігурації пулу з’явилась можливість вибору Pool Type як Generic Application чи OAuth:
DNS та IPAM
- Підтримка пошуку записів DNS у інтерфейсі віртуального сервісу. До інтерфейсу віртуального сервісу додано підтримку пошуку записів DNS:
GSLB
- Підтримка mTLS для health-моніторингу GSLB HTTPS. Додано підтримку mTLS для health-моніторингу GSLB HTTPS. mTLS (взаємна безпека транспортного рівня) є розширенням стандарту TLS. mTLS або взаємний TLS стосується автентифікації TLS, встановленої на стороні клієнта та сервера. Починаючи з NSX Advanced Load Balancer 22.1.3, mTLS можна ввімкнути на health-моніторах GSLB, щоб пов’язати з ним атрибути SSL. У цьому випадку автентифікація виконується на стороні клієнта, одночасно відстежуючи стан членів пулу служб GSLS (віртуальних служб), і таким чином досягаючи автентифікації mTLS:
- Можливість надання декількох сайтів GSLB з підтримкою persistence для використання єдиної віртуальної служби. З’явилась можливість надання декількох сайтів GSLB з підтримкою persistence для використання єдиної віртуальної служби:
- Підтримка в UI визначення пріоритету для пулів GSLB Service. Наявна підтримка в UI визначення пріоритету для пулів GSLB Service:
- Конфігурація ручного відновлення трафіку для члена пулу GSLB після його падіння. Конфігурація ручного відновлення трафіку для члена пулу GSLB після його падіння:
Моніторинг та видимість
- Включення tenant_name до форматів Syslog, коли журнали логів передаються на зовнішній сервер. З’явилось включення tenant_name до форматів Syslog, коли журнали логів передаються на зовнішній сервер.
- Підтримується параметр запиту Wildcard в GET API для отримання метрик Prometheus.
- API-підтримка для Markers у тілі потокового журналу логів, який буде використовуватися як індекс для Splunk. З’явилась API-підтримка для Markers (раніше відомих як мітки) у тілі потокового журналу логів, який буде використовуватися як індекс для Splunk.
Мережа
- Підтримка IPv6 для зв’язку контролера та SE з використанням виділених вторинних інтерфейсів IPv6 на контролері для керування IPv6 SE при підключенні через нього (Tech Preview). Тестується підтримка IPv6 для зв’язку контролера та SE з використанням виділених вторинних інтерфейсів IPv6 на контролері для керування IPv6 SE при підключенні через нього (Tech Preview). NSX Advanced Load Balancer підтримує мережеву інфраструктуру IPv6 і IPv4 для data plane, тоді як management plane все ще залежить від мережевої інфраструктури IPv4. Із збільшенням впровадження IPv6 у традиційних мережах і сучасній інфраструктурі підприємства переходять на гібридні (IPv4 + IPv6) мережі L З версією 22.1.3 NSX Advanced Load Balancer підтримує конфігурацію IPv6 для Controller і зв’язок між Controller та Service Engine. Ця підтримка забезпечує зв’язок IPv6 між control plane та data plane. З цього моменту мітку SE_SECURE_CHANNEL можна приєднати до вторинного інтерфейсу Avi Controllers для SE для підключення до Controller. Цей вторинний інтерфейс може бути IPv6, і SE може підключатися до нього, використовуючи свою management-адресу IPv6. Наступні функції підтримуються на стороні Controller та Service Engine:
- Зв’язок Service Engine з Controller через IPv6
- Зв’язок Service Engine з Service Engine через IPv6 для внутрішніх застосунків
- Service Engine для серверів потокової передачі журналів логів через IPv6
- Розв’язання DNS на Service Engine через IPv6
- Виділені вторинні інтерфейси для безпечного канального підключення до SE, які можна налаштувати для IPv6 IP для керування SE.
- Підтримка Stream Control Transmission Protocol (SCTP) (Tech Preview). Тестується підтримка Stream Control Transmission Protocol (SCTP) (Tech Preview). Stream Control Transmission Protocol (SCTP) – це протокол транспортного рівня, подібний до TCP. Він забезпечує альтернативний транспортний рівень. Здебільшого використовується для передачі різних протоколів сигналізації через IP-мережі для телекомунікаційних use-cases. SCTP підтримує:
- Багатопотокову передачу. Дозволяє доставляти дані кількома незалежними потоками.
- Multi-homing. Працює на кількох кінцевих точках L3, зберігаючи той самий зв’язок L
- Підтримка в UI включення відстеження захоплення пакетів SE. З’явилась підтримка в UI включення відстеження захоплення пакетів SE:
Система
- Оцінка готовності системи до оновлення перед його початком за допомогою CLI. Надається оцінка готовності системи до оновлення перед його початком за допомогою CLI. Покращено процес оновлення в сенсі:
- Перегляду статусу оцінки попередньої перевірки в реальному часі
- Чіткості виведення помилок та попереджень в процесі оцінки попередньої перевірки
- Детального підсумку на вимогу усіх етапів оцінки попередньої перевірки, які виконуються для вказівки на готовність до оновлення:
- Підтримка в UI для оновлення груп механізмів служб, що належать тенантам, які не є адміністраторами. З’явилась підтримка в UI для оновлення груп механізмів служб, що належать тенантам, які не є адміністраторами:
- Підтримка Universal Client 10.4.1 для Thales Luna HSM. Наявна підтримка Universal Client 10.4.1 для Thales Luna HSM.
- Опція «Import Private Key to HSM» у CLI та UI під час імпорту сертифіката. З’явилась опція «Import Private Key to HSM» у CLI та UI під час імпорту сертифіката:
Web Application Firewall (WAF) та безпека застосунків
- Підтримка opt-in для автоматичних оновлень CRS для будь-якої політики WAF. З’явилась підтримка opt-in для автоматичних оновлень CRS для будь-якої політики WAF. Якщо вибрано опцію «Enable CRS auto-update», система намагатиметься підтримувати актуальну версію CRS, що використовується в цій політиці. Якщо на Controller доступний новіший об’єкт CRS, система ініціює процес оновлення CRS для цієї політики WAF. Він не оновлюватиме політики, якщо поточна версія CRS встановлена як CRS-VERSION-NOT-APPLICABLE:
- Опція вибору включення нових правил в режим DETECTION при запуску апдейту CRS. Коли запускається апдейт CRS, надається опція вибору, чи потрібно включати нові правила в режим DETECTION. Під час оновлення CRS за замовчуванням нові правила додаються в режимі DETECTION. Починаючи з NSX Advanced Load Balancer 22.1.3, оновлення CRS оброблятиме нові правила по-різному, лише якщо політика перебуває в режимі ENFORCEMENT. У цьому випадку оновлення переведе нові правила в режим DETECTION, додавши заміни CRS для нових правил. Якщо прапорець «updated_crs_rules_in_detection_mode» не встановлено або якщо режим політики має значення DETECTION, правила буде додано без нових замін CRS. Прапорець використовується для «auto_ update crs (CLI)» і для робочих процесів оновлення CRS з Ul. Чекбокс «Enable all new rules in Detection mode» доступний у розділі Шаблони > WAF > Підписи політики WAF:
- Загальнодоступна підтримка Bot Management. Щодо Bot Management, підтримка виявлення, класифікації та керування трафіком ботів тепер стала загальнодоступною. Бот – це програмний застосунок, що працює автономно та запрограмований на виконання певних повторюваних завдань набагато швидше, ніж це робила б людина. Він працює без людського втручання, цілком автоматично та імітує дії реальних людей у веб-додатках. Боти стають дедалі більшою проблемою у веб, внаслідок стрімкого зростання їх трафіка в останні роки. Крім того вони бувають «хороші» (наприклад, хелс-монітори, сканери вразливостей, різні чекери тощо) та «погані» (скрапери, спам-боти та інші):
- Підтримка оператора @ipMatchFrFile. З’явилась підтримка оператора @ipMatchFrFile.
- Постійність сеансу SSL/ TLS з використанням ID сеансу, співставленого даним про сервер та порт за допомогою DataScripts. Надана постійність сеансу SSL/ TLS з використанням ID сеансу, співставленого даним про сервер та порт за допомогою DataScripts. Відновлення сеансу SSL/TLS — це механізм для зменшення SSL-взаємодії між клієнтом і сервером під час встановлення нового з’єднання. Сервер розміщує ненульовий ідентифікатор сеансу в Server Hello після завершення взаємодії SSL. Клієнт зберігає та повторно використовує ідентифікатор сеансу протягом часу його очікування, щоб зменшити взаємодію з SSL. Постійність — це здатність ідентифікувати сеанс за наданим сервером ID і прикріплювати або зберігати його на сервері призначення деякий час. NSX Advanced Load Balancer забезпечує спосіб збереження ідентифікатора сеансу, зіставленого з інформацією про сервер і порт, за допомогою подій VS_DATASCRIPT_EVT_L4_REQUEST і VS_DATASCRIPT_EVT_L4_RESPONSE.
- Підтримка динамічного планування наступної спроби оновити CRL. З’явилась підтримка динамічного планування наступної спроби оновити CRL. Починаючи з NSX Advanced Load Balancer 22.1.3, оновлення CRL може динамічно плануватися, якщо не налаштований час оновлення. Коли ж налаштовано Refresh Time, оновлення CRL відбувається регулярно з цим інтервалом:
- Інтеграція автоматизації перевірки й сертифікації Let’s Encrypt HTTP. Доступна інтеграція автоматизації перевірки й сертифікації Let’s Encrypt HTTP для:
- Вирішення виклику DNS-01
- Автоматичного поновлення сертифікації для імпортованих сертифікатів
- Механізму поновлення сертифікату силоміць (за вимогою).
- Налаштування сервісу SSH на заборону/заперечення Weak Host Key Algorithmта Key Exchange Algorithm. Відтепер сервіс SSH налаштований на заборону/заперечення Weak Host Key Algorithm та Key Exchange Algorithm.
- Кешування даних, отриманих від кінцевої точки самоспостереження. Доступне кешування даних, отриманих від кінцевої точки самоспостереження. Якщо Access Token має тип opaque, він безпосередньо не використовується для авторизації ресурсів і не може бути легко проаналізований клієнтом, на відміну від токена JWT (JSON Web Tokens). Щоб авторизувати ресурс за допомогою Opaque Access Token, NSX Advanced Load Balancer обмінюється ним з сервером авторизації/IDP (використовуючи кінцеву точку інтроспекції), щоб отримати дані самоспостереження. Задля покращення продуктивності у NSX Advanced Load Balancer версії 22.1.3 представлено кешування даних самоаналізу протягом налаштованого інтервалу. У цей час жодне повідомлення інтроспекції не надсилається до її кінцевої точки, але кешовані дані самоспостереження використовуватимуться для авторизації ресурсу. Дані самоаналізу не кешуються за замовчуванням. Коли інтервал («introspection_data_timeout») задано, NSX Advanced Load Balancer використовуватиме мінімальне з налаштованих значень і значень терміну дії, наявних у даних інтроспекції:
- Підтримка ініційованого Client/Relying Party (RP) виходу з OpenID Connect. Доступна підтримка ініційованого Client/Relying Party (RP) виходу з OpenID Connect. NSX Advanced Load Balancer як клієнт OAuth (RP) ініціює запит, який спрямовує провайдера ідентифікаційної інформації (IDP) на логаут, перенаправляючи агент користувача на кінцеву точку виходу IDP:
- Підтримка вилучення токену доступу з сеансу OAuth користувача за допомогою DataScripts. Відтепер є підтримка вилучення токену доступу з сеансу OAuth користувача за допомогою DataScripts.
Тандем Avi Networks та NSX
Традиційні рішення для мереж та балансування навантаження інколи не здатні підтримувати бажаний рівень автоматизації внаслідок відсутності нативних REST API, через потребу в керуванні статичною потужністю для орієнтованої на застосунок архітектури, або наявність надмірно дорогого надання через брак вбудованої телеметрії. Якщо ж поєднати можливості VMware NSX та Avi отримаємо наступні переваги:
- Автоматичне надання та масштабування мереж та служб застосунків
- Автоматизована реконфігурація служб застосунків в режимі реального часу зі змінами в мережах чи застосунках
- Аналітика застосунку в реальному часі для відстеження відповіді програми, аналізу журналів логів підключень та спостереження за взаємодією кінцевого користувача з застосунками
В результаті еластична мережа обслуговування застосунків синхронізується в реальному часі з NSX, а комбінація Avi Networks і NSX дозволяє Avi Controller бути єдиною точкою керування через REST API. Девелопери та адміністратори мережі налаштовують інстанси застосунків та балансувальників навантажень одночасно з автоматичним розкрученням Avi Controller розподілених балансувальників навантаження (Avi Service Engines), що розміщує віртуальні IP (VIP) на Service Engine і поміщає мережеві інтерфейси у правильну оверлейну чи андерлейну мережу, без зовнішнього втручання. Avi також публікує правила, викликаючи NSX API, та динамічно керує безпекою для ресурсів балансування навантаження. Як тільки трафік застосунків зростає, Avi Controller масштабує ресурси, створюючи додаткові Service Engine та навпаки. На малюнку наочно продемонстрована взаємодія між Avi та NSX:
Як ми бачимо, рішення VMware поглинути Avi Networks було неймовірно корисним та перспективним з точки зору розвитку й вдосконалення віртуалізації мереж, а остання нова версія продуктів обох брендів на цій царині дозволяє з оптимізмом дивитися в майбутнє галузі та з нетерпінням чекати новин щодо нових релізів вендора.