Рубрики
News 2023

Обновленные NSX и Avi Networks

Когда в 2012 году VMware был куплен небольшой стартап Nicira, созданный энтузиастами, которые придумали, как распространить концепцию серверной виртуализации и виртуализации хранилища на сети, мало кто мог предвидеть в какое мощное направление вырастет идея и какое она будет иметь влияние на современное построение мульти-облачных корпоративных сред:

NSX – продукт, что динамично развивается, постоянно наращивает собственное портфолио функций, сервисов и возможностей, создает крайне удачные коллаборации со сторонними решениями. VMware внимательно следит за регулярным и качественным обновлением своего любимого направления, и сегодня мы поговорим о том, что именно появилось в нем с последними обновлениями.

VMware NSX – это программно-определенное сетевое решение VMware, которое позволяет программно создавать виртуальные сети и управлять ими, опираясь на полный перечень сетевых сервисов с Layer 2 до Layer 7 (например, коммутацию, маршрутизацию, контроль доступа, файерволинг, QoS), включительно с автоматизацией процессов:

Мажорное обновления до 4-й версии NSX предложило новые функции и возможности ко всем вертикалям продукта: сети, безопасности и сервисам. Сегодня мы всем им уделим должное внимание, а кроме того и актуальному релизу NSX 4.0.1.1, но начнем с замечания, что изменилась даже само название: вместо «VMware NSX-T Data Center» мы теперь будем употреблять просто «VMware NSX». Оно лучше отображает багатогранную ценность NSX для клиентов и с этого момента именно ее будем видеть в графическом интерфейсе пользователя:

Это косметическое изменение не повлияет на характеристики или функциональность продуктп, или на API, которые влияют  на совместимость или взаимодействие самой новой версии с более старыми. Однако перейдем к более содержательным и интересным новостям.

Сетевой уровень L3

  • Расширение поддержки IPv6. Management Plane, что смотрит вовне через IPv6 представляет поддержку для IPv6-связи с внешних систем с management-кластером NSX (только Local Manager). С этого момента NSX Manager поддерживает дуал-стек (IPv4 и IPv6) во внешнем management-интерфейсе. Но развертывания только IPV6 в этом релизе не поддерживаются. Доступна поддержка следующих внешних коммуникаций и систем:
    • Доступ к NSX User Interface (UI) через IPv6
    • Доступ к NSX API через IPv6:
      • IPv6-связь с vCenter. В этом релизе службы и клиенты vCenter, которые используют vCenter Extension Manager для связи с NSX Manager, такие как vLCM, WCP и Supervisor Cluster, будут пользоваться IPv4 для подключения к NSX Manager.
    • IPv6 syslog
    • IPv6 SNMP
    • IPv6 SSH
    • IPv6 SFTP (Backup & Restore)
    • IPv6-связь с DNS-сервером
    • IPv6-связь с NTP-сервером
    • IPv6 VIP кластера
    • IPv6-связь с серверами LDAP/AD для аутентификации пользователя и IDFW
    • IPv6-взаимодействие с Operations tools: vRNI, vRLI и vROPs
    • IPv6-поддержка телеметрии/VAC
  • Смена префикса транзитной подсети T0-T1 после создания Tier0. Внутренняя смена префикса транзитной подсети T0-T1 после создания Tier0 позволяет пользователям изменять префикс, который используется после создания Т0. До этого момента пользователь мог менять дефолтное значение (100.64.0.0/16) только во время создания Tier-0.
  • Усовершенствование режима EVPN. Добавлено поддержку двух новых топологий режима сервера маршрутизации EVPN:
    • Статических маршрутов между шлюзом VRF Tier-0 и размещенным VNF
    • Northbound L3ECMP для балансировки трафика от гипервизоров ESXi к шлюзам дата-центра
  • Добавлено протокол обнаружения сбоев BFD IPv6 – BFD. Поможет в быстром обнаружении сбоев в forward path и конвергенции. Добавлена поддержка BFD для IPv6 BGP соседей и статических маршрутов IPv6.

Акселерация на основе DPU

С этого момента NSX предлагает поддержку блоков обработки данных (DPU), чтобы разгрузить различный функционал NSX и использовать больше мощностей CPU хоста для виртуализации вычислений:

К тому же DPU ускоряет работу сети. Поддерживаемые ускорением на основе DPU возможности:

  • Сеть – оверлейные и VLAN-сегменты, распределенная маршрутизация IPv4 и IPv6, NIC-тиминг по всем SmartNIC/DPU-портам
  • Видимость и операции – Traceflow, IPFIX, захват пакетов, порт-мирроринг, статистика
  • Uniform Passthrough (UPT V2) – возможность миновать гипервизор ESXi уровня хоста и получить прямой доступ к DPU, что увеличит производительность без жертвования получаемыми от vSphere и NSX функциями

При этом один DPU рассчитан на хост, что потребляет один VDS. Поддерживаемые вендоры:

  • NVIDIA Bluefield-2 (25ГБ только NIC модели)
  • AMD / Pensando (25ГБ и 100ГБ модели NIC)

Насчет безопасности, Distributed Firewall и Distributed IDS/IPS в разрезе этой новой поддержки еще в стадии технического тестирования.

Сетевые сервисы

  • Поддержка NAT для VPN на основе политики на T0/T1 шлюзе. Поддержка NAT для VPN на основе политики на T0/T1 шлюзе позволяет конфигурировать правило DNAT/NO-DNAT, что отвечает трафику, декапсулированному с VPN на основе политики. В то время, когда мы хотим перевести Destination IP-адрес для трафика, декапсулированного с VPN, мы можем настроить DNAT/NO-DNAT и выбрать «match» для VPN на основе политики. Поведение по умолчанию будет сохранено для обхода, что  означает, что она не отвечает трафику, декапсулированному с VPN на основе политики.
  • Усовершенствование рабочего процесса настройки интерфейса пользователя DHCP. Усовершенствование рабочего процесса настройки интерфейса пользователя DHCP предлагает более простую и легкую конфигурацию локального сервера DHCP; сервера DHCP шлюза или DHCP Relay. Это также предлагает лучшую видимость и возможности мониторинга.
  • Standby-перемещение DHCP. Standby-перемещение DHCP улучшает доступность DHCP-сервера, позволяя конфигурировать резервное перемещение, где в случае сбоя будет выбрано новый резервный Edge.

Платформа Edge

  • API Edge relocate. API Edge relocate дает возможность при переходе ВМ Edge в maintenance-режим осторожно переместить все автоматически назначенные SR T1 на другие ВМ Edge.
  • Поддержка параметров Edge Node во время обновления. После обновления все отредактированные пользователем параметры Edge Node будет сохранено и не будет скинуто до значений по умолчанию.
  • Поддержка SmartNIC для ВМ Edge. Драйвер DPDK vmxnet3 обновился для поддержки pNIC на основе DPU (SmartNIC) для интерфейсов путей данных в форм-факторе ВМ Edge. Трафик через ВМ Edge получит преимущества от такого ускорения аппаратного обеспечения. Можно включить только на всех интерфейсах сразу.
  • Добавлены события и сигналы тревоги. Появились новые сигналы тревоги для улучшения видимости Edge-ноди и траблшутинга в отношении утилизации CPU, коммуникации между NSX Manager/CCP и NSX Edge Node, максимума маршрутов IPv4 и IPv6 в таблице маршрутизации и максимального количества анонсированных префиксов BGP.
  • Nvidia ConnectX-6. Добавлена поддержка Nvidia ConnectX-6 для Bare Metal Edge, что дает большую пропускную способность.
  • Stateful Active-Active Edge Services. Поддержка stateful-сервисов на шлюзах Tier-0 та Tier-1 в режиме Active-Active HA. Эти сервисы поддерживают: L4/L7 Gateway Firewall, фильтрацию URL, проверку NAT и TLS:

Distributed Firewall

  • Блокировка злоумышленных IP-адресов в Distributed Firewall. Блокирование злоумышленных IP-адресов в Distributed Firewall — это новая функция, которая позволяет блокировать трафик до и с вредных IP-адресов. Работает путем приема загрузки вредных IP-адресов, предоставленной Vmware Contexa. Эта загрузка автоматически обновляется несколько раз в день, чтобы среда была защищена от новых вредоносных IP-адресов. Для существующих сред эту функцию нужно будет включить явно. Для новых сред она включена по умолчанию.
  • Расширение поддержки физических серверов NSX Distributed Firewall. NSX Distributed Firewall теперь добавил поддержку для таких версий физических серверов: RHEL 8.2, 8.4, Ubuntu 20.04, CentOS 8.2, 8.4.
  • L7 AppID. Дополнительные AppID были добавлены.
  • Анализ FQDN. Улучшено сопоставление IP, когда цепочка разрешения FQDN включает несколько CNAME.
  • Сигналы тревоги. Появились дополнительные сигналы тревоги, связанные с подключениями в секунду и правилами файервола на каждый добавленный vNIC/хост.

Обнаружение и предотвращение вторжений (IDS/IPS)

  • Сигналы тревоги. Добавлены дополнительные сигналы тревоги, связанные с приближением/пересечением пороговых значений CPU и сети.
  • Конфигурация чрезмерной подписки. Механизм IDS/IPS теперь можно глобально настроить на отключение или обход трафика в случае чрезмерной подписки CPU. Эту конфигурацию также можно применить на уровне правила, если нужна детализация поведения.

Федерация

  • Поддержка на Local Manager физических серверов. Физические серверы с этого момента поддерживаются на Local Manager, что является частью Federation. Они сейчас могут быть частью определенных в Global Manager групп, и потом эти группы можно использовать в правилах файервола (DFW или Gateway Firewall).
  • Добавлено три связанные с файерволами функции с Global Manager. Включение/выключение файерволов с Global Manager для каждого сайта, поддержка списка выключений для рабочих нагрузок с Distributed Firewall и правила DFW на основе времени, которые можно предоставлять  из GM.

Вставка службы

Дополнительные сигналы тревоги в Service Insertion. Service Insertion с этого момента получила дополнительные сигналы тревоги для мониторинга работоспособности и подвижности своих компонентов.

Платформа приложений NSX и ассоциированных служб

  • Совместимость NSX 4.0.0.1 и NSX Application Platform 3.2.1. NSX 4.0.0.1 совместим с версией NSX Application Platform 3.2.1 вместе с соответствующими функциями NSX (NSX Intelligence, NSX Network Detection and Response, NSX Prevention Malware и NSX Metrics). Если в употреблении NSX Application Platform 3.2.0, необходимо обновиться до версии 3.2.1 или более новой, прежде чем будет доступно обновление NSX до 4.0.0.1.

Инсталляция и обновление

  • Ускорение обновления. Для более эффективного использования окон техобслуживания время апгрейдов с этого момента сократилось на 10%.
  • Новые сигналы тревоги в отношении статуса жизненного цикла физических серверов. В мониторинге появились новые сигналы тревоги по статусу жизненного цикла – установки, удаления, обновления.
  • Улучшение юзабилити. Выросло удобство использования благодаря возможности создавать системные оповещения о доступности новых версий NSX.
  • Отметка в NSX UI о Partial Maintenance Mode для vSphere with Tanzu. Теперь можно получать оповещения об операциях vCenter, в частности таких как vSphere with Tanzu Partial Maintenance Mode, в интерфейсе пользователя NSX, во избежание сбоев в работе во время техобслуживания хоста.
  • Гибкость обновления выбранних групп TN в кластерах во время обновления NSX. С этого момента можно создавать группы Edge или Host вместе с возможностью обновлять выбранные такие группы за один раз, не привязываясь к предыдущей последовательности. Но в таких группах могут быть либо Edge, либо хосты – не их комбинация. И все равно NSX Manager обновлять придется только после апгрейда всех Edge и хостов.
  • Появилась поддержка SSH-ключей/сертификатов при резервном копировании NSX. Вдобавок к данным учетной записи в качестве опции, что выбирается, можно указывать SSH-ключи/сертификаты при бэкапировании методов серверной аутентификации.

Операции и мониторинг

  • Поддержка Live Traffic Analysis & Traceflow для VPN. Можно получать анализ трафика и поддерживать traceflow для VPN как сквозного просмотра пакетов в реальном времени в туннеле VPN, с использованием соответствующих инструментов.
  • Поддержка Edge для анализа трафика в режиме реального времени. Инструмент Live Traffic Analysis может использоваться с целью захвата пакета на интерфейсах NSX Edge.
  • Усовершенствование событий, сигналов тревоги и операций. Текущий релиз исправил некоторые известные проблемы с инструментом Live Traffic Analysis и Traceflow. А оповещения о высокой задержке добавлены в цправляющую и сетевую инфраструктуру.
  • С этого момента можно конфигурировать ссылку на статьи КБ как часть шагов рекомендованных действий при сигналах тревоги.
  • Добавлены несколько метрик мониторинга сети. В отношении NSX Edge (16 дополнительных метрик, включительно с метриками кэша потока, занятости очереди для fast path интерфейсов и пропускной способности на входе и выходе fast path інтерфейсів NSX Edge) с NSX Application Platform – Metrics API, по мониторингу пакетов транспортных нод NSX Edge и по статистике NSX Tier0 и Tier1 Gateway Interface (IPv4 против IPv6 пакетов в секунду).

VPN

Появился мониторинг VPN. Дает видимость статистики VPN, а именно:

  • статус туннеля (UP или Down)
  • Rx/Tx байтов в секунду
  • Rx/Tx пакетов в секунду
  • скорость сбрасывания пакетов
  • причины сбрасывания

ААА и платформа безопасности

Улучшение Local User Password Configuration. NSX поддерживает дополнительные требования к сложности, чтобы отвечать новым отраслевым нормам.

Мульти-тенантность в NSX

Проекты в NSX – это сегментирование определенного его инстанса путем создания Project вдобавок к дефолтному контексту, еще один встроенный механизм изоляции:

Идея в том, чтобы разные пользователи могли работать с одним инстансом NSX, и при этом имели доступ только к своим собственным логическим объектам (Tier-1, сегментам, группам, правилам файерволов) и не могли просматривать или редактировать конфигурации за пределами своих проектов, если администратор не разрешил иное. Пока что это только API-функция.

  • Модель Provider / Tenant. Администратор NSX создает проекты и управляет ими, и определяет кластеры Edge, Tier-0 и пользователей. Он может просматривать все объекты проектов и управлять безопасностью платформы, применяя ее правила ко всем проектам (правила не изменяются пользователями).
  • Multi-Tenancy Role-Based Access Control. Добавлены две новые роли: администратора организации и администратора проекта для согласованности с внедрением мульти-тенантности на платформе.

Лицензирование

License Enforcement. Улучшено исполнение на уровне функций на редакциях лицензий NSX Firewall, что ограничивает доступ к присущим определенной лицензии возможностям. Новые пользователи имеют доступ только к тем функциям, которые есть в купленной редакции. Пользователи, которые уже имели доступ к отсутствующим в их лицензии функциям, могут только просматривать объекты – создавать и редактировать их будет заборонено.

Нове в Avi Networks

Avi позволяет предоставлять мульти-облачные службы приложений, такие как балансировка нагрузки, безопасность приложений, автомасштабирование, сетевые контейнеры и файервол веб-приложений. Решение автоматизирует доставку приложений, гарантируя их доступность, безопасность и скорость развертывания:

В результате приложения предоставляются на 90% быстрее, ТСО снижается на 50%, возможности мониторинга и аналитики становятся, действительно, безграничными, а человеческий фактор нивелируется, как таковой:

Сейчас Avi Vantage Platform официально называется VMware NSX Advanced Load Balancer – именно под таким названием решение доступно для загрузки на официальной странице продуктов VMware и упоминается как один из компонентов платформы:

Причем, оно требует лицензии NSX не всегда – балансировщик нагрузки Avi можно использовать и как standalone или в качестве интегрированного решения в другие продукты вендора. Самой свежей версией NSX Advanced Load Balancer (Avi) на данный момент является 22.1.3 и прямо сейчас мы перейдем к ее всестороннему обсуждению.

Cloud Connector

AWS

  • Поддержка Instance Metadata v2 (IMDSv2). С этого момента доступна поддержка Instance Metadata v2 (IMDSv2):

  • Возможность использовать тип тома GP3 как дефолтный для AWS Elastic Block Store (EBS), что поддерживает SE ВМ. Появилась возможность использовать тип тома GP3 как дефолтного для AWS Elastic Block Store (EBS), что поддерживает SE ВМ. Шифрование Amazon EBS – это решение, что предлагается для шифрования EBS томов. Шифрование EBS томов и их прикрепления к типу поддерживаемого инстанса шифрует данные внутри тома, все данные перемещаются между томом и инстансом, все снэпшоты, созданные с тома, и все тома, созданные с этих снэпшотов. Avi Vantage поддерживает включение EBS и S3 шифрования при помощи AWS SSE-KMS, что шифрует Amazon Machine Image (AMI).
  • Поддержка региональных конечных точек.

GCP

  • Совместная поддержка нескольких сетевых карт VPC через UI.

LSC

  • Поддержка DPDK для ethernet-адаптеров Mellanox ConnectX-6. Сетевые интерфейсные карты ConnectX® от Mellanox обеспечивают экономное Ethernet-подключение для облачных инфраструктур с умной разгрузкой и высокой пропускной способностью.

NSX-T

  • Поддержка режима ENS для развертываний VMware (Tech Preview).
  • Общий доступ NSX Security-only (развертывание режима Distributed Firewall (DFW) до Distributed Virtual Port Group (DVPG) в NSX-T Cloud). Требует VMware NSX 3.2.2+.
  • Масштаб виртуальных служб было увеличено с 2000 до 5000 с облаком NSX-T в большом кластере контроллера NSX Advanced Load Balancer.

Oracle

  • Поддержка NSX-ALB для балансировки нагрузки приложений, запущенных в Oracle Cloud VMware Solution (OCVS) SDDC. Oracle Cloud VMware Solution (OCVS) – это один из самых быстрых и наиболее гибких путей для расширения, миграции и запуска приложений VMware в Oracle Cloud без изменений в программах, инструментах или процессах. Сейчас Oracle Cloud VMware Solution предоставляется из коробки с самыми важными сетевыми настройками NSX, а Avi обеспечивает балансировку нагрузок для приложений, запущенных в SDDC OCVS. Avi интегрируется как дополнительное решение по балансировке нагрузок, с соединенными Avi Controller, NSX Manager и VMware vCenter в Oracle Cloud VMware Solution, и поставляет все преимущества своего использования:

VMware vCenter / vSphere ESX

  • Поддержка VMware vCenter 8.0.
  • Поддерживаются сегменты NSX-T, что охватывают несколько VDS в облаке vCenter.
  • Возможность изменения названия хранилища данных в группе Service Engine для облака vCenter в режиме записи при помощи UI
  • Возможность присвоения определенных пользователем тегов vSphere для Service Engine в процессе создания SE

Ключевые функции LB

  • Поля «Username»і «Password» рассматриваются как конфиденциальная информация в External Health Monitors и считываются как переменные во избежание несанкционированного раскрытия данных аутентификации:

  • Введено новые «Criteria» для политик HTTP запросов и ответов в разделе «Matching Rules» для соответствия Query группе строк или пользовательской строке в URI. Политики запросов позволяют манипулировать запросами HTTP. Эти запросы могут быть изменены перед тем, как будут направлены на сервер, использованы как основа для переключения содержимого или отклонены. Применять их можно только к виртуальным службам L7, что настроены при помощи профиля HTTP.
  • Увеличено максимальный размер запроса HTTP для health-мониторов с 1024 до 5120 байтов:

  • Поддержка WebSockets для разных версий HTTP (от HTTP/2 Client до HTTP/1 Server). Включение WebSockets позволяет виртуальной службе принимать запрос клиента на обновление заголовка. Если сервер прослушивает WebSockets, соединение между клиентом и сервером будет обновлено. WebSocket — это полнодуплексный протокол TCP. Сначала соединение начнется через HTTP, но после  успешного обновления все анализы HTTP Avi Vantage остановятся, и соединение будет рассматриваться как обычное соединение TCP.
  • Обработка XFF для сохранения одного или нескольких заголовков X-Forwarded-For, что поступают с запросом. С этой опцией Avi Vantage будет вставлять заголовок X-Forwarded-For (XFF) в заголовки HTTP-запроса, когда запрос передается на сервер. Значение заголовка XFF содержит оригинальный IP-адрес источника клиента. Веб-серверы могут использовать этот заголовок для регистрации взаимодействия клиента вместо использования IP-адреса L3, который неправильно будет отображать исходный NAT-адрес Service Engine. Если включить эту опцию, появится поле альтернативного названия XFF, которое позволяет вставке заголовка XFF использовать собственное название заголовка HTTP. Если заголовок XFF или предоставленное настраиваемое название уже существует в запросе клиента, все инстансы этого заголовка сначала будет удалено. Чтобы добавить заголовок, не удаляя его предыдущие инстансы, пользуются политикой запросов HTTP:

  • Опция «Enable HTTP2 Server Push» в UI. Она позволяет серверу посылать несколько ресурсов в ответ на запрос клиента без явного запроса клиента каждого из этих ресурсов, то есть посылать зависимые ресурсы заранее, когда клиент запрашивает ресурс. Это уменьшает задержку, которая может возникнуть из-за ожидания каждого запроса на обслуживание ресурса. При помощи HTTP/2 PUSH сервер может взять на себя иннициативу, обладая некоторыми правилами, которые запускают push в определенные моменты.
  • UI-поддержка настройки максимального количества заголовков HTTP для запросов и ответов в Application Profile:

  • Поддержка объектом Enhanced Virtual Hosting (EVH) нескольких критериев совпадения вне хоста и пути
  • Последовательная поддержка хеша в пулах, которые являются членами группы пулов. Новые соежинения распределяются между серверами при помощи хеша, который базируется на ключе, указанном в боксе под полем LB Algorithm или в специальной строке, предоставленной пользователем через функцию DataScript avi.pool.chash. Этот алгоритм по своей сути сочетает балансировку нагрузки и постоянство, что минимизирует необходимость добавления метода постоянства. Он наилучшим образом подходит для балансировки нагрузки большого количества кеш-серверов с динамическим содержимым. Добавление или удаление сервера не вызывает полного перерасчета хеш-таблицы:

  • Поддержка UI для True Client IP в функциях безопасности Layer 7:

  • Возможность выбора Pool Type как Generic Application или OAuth для конфигурации пула:

DNS и IPAM

  • Поддержка поиска записей DNS в интерфейсе виртуального сервиса:

GSLB

  • ПОддержка mTLS для health-мониторинга GSLB HTTPS. mTLS (взаимная безопасность транспортного уровня) является расширением стандарта TLS. mTLS или взаимный TLS касается аутентификации TLS, установленной на стороне клиента и сервера. Начиная с NSX Advanced Load Balancer 22.1.3, mTLS можно включить на health-мониторах GSLB, чтобы связать с ним атрибуты SSL. В этом случае аутентификация выполняется на стороне клиента, одновременно отслеживая состояние членов пула служб GSLS (виртуальных служб), и таким образом достигая аутентификации mTLS:

  • Возможность предоставления нескольких сайтов GSLB с поддержкой persistence для использования единой виртуальной службы:

  • Поддержка в UI определения приоритета для пулов GSLB Service:

  • Конфигурация ручного восстановления трафика для члена пула GSLB после его падения:

Мониторинг и видимость

  • Включение tenant_name к форматам Syslog, когда журналы логов передаются на внешний сервер.
  • Поддерживается параметр запросаWildcard в GET API для получения метрик Prometheus.
  • API-поддержка для Markers в теле потокового журнала логов, который будет использоваться как индекс для Splunk.

Сеть

  • Поддержка IPv6 для связи контроллера и SE с использованием выделенных вторичных интерфейсов IPv6 на контроллере для управления IPv6 SE при подключении через нього (Tech Preview). NSX Advanced Load Balancer поддерживает сетевую инфраструктуру IPv6 и IPv4 для data plane, тогда как management plane все еще зависит от сетевой инфраструктуры IPv4. С увеличением внедрения IPv6 в традиционных сетях и современной инфраструктуре предприятия переходят на гибридные (IPv4 + IPv6) сети L. С версией 22.1.3 NSX Advanced Load Balancer поддерживает конфигурацию IPv6 для Controller и связь между Controller и Service Engine. Эта поддержка обеспечивает связь IPv6 между control plane и data plane. С этого момента метку SE_SECURE_CHANNEL можно присоединить к вторичному интерфейсу Avi Controllers для SE для подключения к Controller. Этот вторичный интерфейс может быть IPv6, и SE может подключаться к нему, используя свой management-адрес IPv6. Следующие функции поддерживаются на стороне Controller и Service Engine:
    • Связь Service Engine с Controller через IPv6
    • Связь Service Engine с Service Engine через IPv6 для внутренних приложений
    • Service Engine для серверов потоковой передачи журналов логов через IPv6
    • Разрешение DNS на Service Engine через IPv6
  • Выделены вторичные интерфейсы для безопасного канального подключения к SE, которые можно настроить для IPv6 IP для управления SE.
  • Поддержка Stream Control Transmission Protocol (SCTP) (Tech Preview). Stream Control Transmission Protocol (SCTP) – это протокол транспортного уровня, подобный TCP. Он обеспечивает альтернативный транспортный уровень. В большинстве своем используется для передачи разных протоколов сигнализации через IP-сети для телекоммуникационных use-cases. SCTP поддерживает:
    • Многопотоковую передачу. Позволяет доставлять данные несколькими независимыми потоками.
    • Multi-homing. Работает на нескольких конечных точках L3, сохраняя ту же связь L
  • Поддержка в UI включения отслеживания захвата пакетов SE:

Система

  • Оценка готовности системы к обновлению перед его началом при помощи CLI. Улучшено процесс обновления в смысле:
    • Просмотра статуса оценки предварительной проверки в реальном времени
    • Четкости выведения ошибок и предупреждений в процессе оценки предварительной проверки
    • Детального итога по требованию всех этапов оценки предварительных проверок, которые выполняются для указания на готовность к обновлению:

  • Поддержка в UI для обновления групп механизмов служб, что принадлежат тенантам, которые не являются администраторами:

  • Поддержка Universal Client 10.4.1 для Thales Luna HSM
  • Опция «Import Private Key to HSM» в CLI и UI во время импорта сертификата:

Web Application Firewall (WAF) и безопасность приложений

  • Поддержка opt-in для автоматических обновлений CRS для любой политики WAF. Если выбрано опцию «Enable CRS auto-update», система будет пытаться поддерживать актуальную версию CRS, что используется в этой политике. Если на Controller доступен более новый объект CRS, система инициирует процесс обновления CRS для этой политики WAF. Он не будет обновлять политики, если текущая версия CRS установлена как CRS-VERSION-NOT-APPLICABLE:

  • Опция выбора включения новых правил в режим DETECTION при запуске апдейта CRS. Когда запускается апдейт CRS, предоставляется опция вибора, надо ли включать новые правила в режим DETECTION. Во время обновления CRS по умолчанию новые правила добавляются в режиме DETECTION. Начиная с NSX Advanced Load Balancer 22.1.3, обновление CRS будет обрабатывать новые правила по-разному, только если политика пребывает в режиме ENFORCEMENT. В этом случае обновление переведет новые правила в режим DETECTION, добавив замены CRS для новых правил. Если флажок «updated_crs_rules_in_detection_mode» не установлено или если режим политики имеет значение DETECTION, правила будет добавлено без новых замен CRS. Флажок используется для «auto_ update crs (CLI)» и для рабочих процессов обновления CRS из Ul. Чекбокс «Enable all new rules in Detection mode» доступен в разделе Шаблоны > WAF > Подписи политики WAF:

  • Общедоступная поддержка Bot Management. В отношении Bot Management, поддержка выявления, классификации и управления трафиком ботов теперь стала общедоступной. Бот – это программное приложение, которое работает автономно и запрограммировано на выполнение определенных повторяемых заданий намного быстрее, чем это делал бы человек. Он работает без человеческого вмешательства, полностью автоматически и имитирует действия реальных людей в веб-приложениях. Боты становятся все большей проблемой в веб, вследствие стремительного роста их трафика в последние годы. Кроме того они бывают «хорошие» (например, хелс-мониторы, сканеры уязвимостей, разные чекери) и «плохие» (скраперы, спам-боты и другие):

  • Поддержка оператора @ipMatchFrFile
  • Постоянство сеанса SSL/ TLS с использованием ID сеанса, сопоставленного данным о сервере и порте при помощи DataScripts. Восстановление сеанса SSL/TLS — это механизм для уменьшения SSL-взаимодействия между клиентом и сервером во время установки нового соединения. Сервер размещает ненулевой идентификатор сеанса в Server Hello после завершения взаимодействия SSL. Клиент сохраняет и повторно использует идентификатор сеанса на протяжении времени его ожидания, чтобы уменьшить взаимодействие с SSL. Постоянство — это способность идентифицировать сеанс по предоставленному сервером ID и прикреплять или сохранять его на сервере назначения некоторое время. NSX Advanced Load Balancer обеспечивает способ хранения идентификатора сеанса, сопоставленного с информацией о сервере и порте, при помощи событий VS_DATASCRIPT_EVT_L4_REQUEST і VS_DATASCRIPT_EVT_L4_RESPONSE.
  • Поддержка динамического планирования следующей попытки обновить CRL. Начиная с NSX Advanced Load Balancer 22.1.3, обновления CRL может динамически планироваться, если не настроено время обновления. Когда же настроено Refresh Time, обновление CRL происходит регулярно с этим интервалом:

  • Интеграция автоматизации проверки и сертификации Let’s Encrypt HTTP. Доступна интеграция автоматизации проверки и сертификации Let’s Encrypt HTTP для:
    • Разрешения вызова DNS-01
    • Автоматического обновления сертификации для импортированных сертификатов
    • Механизма обновления сертификату силой (по требованию).
  • Настройка сервіса SSH на запрет/отрицание Weak Host Key Algorithmта Key Exchange Algorithm.
  • Кеширование данных, полученных от конечной точки самонаблюдения. Если Access Token имеет тип opaque, он непосредственно не используется для авторизации ресурсов и не может быть легко проанализирован клиентом, в отличие от токена JWT (JSON Web Tokens). Чтобы авторизировать ресурс при помощи Opaque Access Token, NSX Advanced Load Balancer обменивается им с сервером авторизации/IDP (используя конечную точку интроспекции), чтобы получить данные самонаблюдения. Для улучшения производительности в NSX Advanced Load Balancer версии 22.1.3 представлено кеширование данных самоанализа на протяжении настроенного интервала. В это время ни одно сообщение интроспекции не посылается на ее конечную точку, но кешированные данные самонаблюдения будут использоваться для авторизации ресурса. Данные самоанализа не кешируются по умолчанию. Когда интервал («introspection_data_timeout») задано, NSX Advanced Load Balancer будет использовать минимально из настроенных значений и значений сроков действия, имеющихся в данных интроспекции:

  • Поддержка инициированного Client/Relying Party (RP) выхода с OpenID Connect. NSX Advanced Load Balancer как клиент OAuth (RP) инициирует запрос, который направляет провайдера идентификационной информации (IDP) на логаут, перенаправляя агент пользователя на конечную точку выхода IDP:

  • Поддержка изъятия токена доступа из сеанса OAuth пользователя прикористувача за допомогою DataScripts. Відтепер є підтримка вилучення токену доступу з сеансу OAuth користувача за допомогою DataScripts.

Тандем Avi Networks и NSX

Традиционные решения для сетей и балансировки нагрузки иногда не способны поддерживать желаемый уровень автоматизации вследствие отсутствия нативних REST API, из-за необходимости управления статичной мощностьюс для ориентированной на приложение архитектуры, или наличия слишком дорогого предоставления по причине недостачи встроенной телеметрии. Если де соединить возможности VMware NSX и Avi получим следующие преимущества:

  • Автоматическое предоставление и масштабирование сетей и служб приложений
  • Автоматизированная реконфигурация служб приложений в режиме реального времени с изменениями в сетях или приложениях
  • Аналитика приложения в реальном времени для отслеживания ответа программы, анализа журналов логов подключений и наблюдения за взаимодействием конечного пользователя с приложениями

В результате эластичная сеть обслуживания приложений синхронизируется в реальном времени с NSX, а комбинация Avi Networks и NSX позволяет Avi Controller быть единой точкой управления через REST API. Девелоперы и администраторы сети настраивают инстансы приложений и балансировщиков нагрузок одновременно с автоматическим раскручиванием Avi Controller распределенных балансировщиков нагрузки (Avi Service Engines), размещающих виртуальные IP (VIP) на Service Engine и помещает сетевые интерфейсы в правильную оверлейную или андерлейную сеть, без внешнего вмешательства. Avi также публикует правила, вызывая NSX API, и динамически управляет безопасностью для ресурсов балансировки нагрузки. Как только трафик приложений начинает расти, Avi Controller масштабирует ресурсы, создавая дополнительные Service Engine и наоборот. На рисунке наглядно продемонстрировано взаимодействие между Avi и NSX:

Как мы видим, решение VMware поглотить Avi Networks было невероятно полезным и перспективным с точки зрения развития и усовершенствования виртуализации сетей, а последняя новая версия продуктов обоих брендов на этом поприще позволяет с оптимизмом смотреть в будущее отрасли и с нетерпением ждать новостей о новых релизах вендора.