Виртуальный NGFW в качестве ядра сети в тенанте Заказчика
Паттерн виртуального NGFW в качестве ядра сети в тенанте заказчика на платформе Облако VMware имеет следующие преимущества и риски:
Преимущества паттерна | Риски |
|---|---|
|
|
Общая схема
Описание паттерна
Ограничения vmware не позволяют выделить больше 10 виртуальных интерфейсов на аплаинс.
Реализация
- Single node:
-
Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.
-
В тенанте Заказчика разворачивается виртуальная машина NGFW.
-
Внешний интерфейс аплаинса подключается к Edge/T1 для маршрутизации в интернет, остальные интерфейсы создаются как isolated и подключатся к NGFW.
-
На NGFW Заказчик настраивает 0.0.0.0 в сторону Edge/T1.
-
На Edge/T1 Заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону Provider Gateway/T0.
-
Интерфейсы Заказчика настраиваются как isolated и подключатся к аплаинсу.
- Cluster:
-
Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.
-
В тенанте Заказчика разворачивается виртуальная машина NGFW.
-
Внешний интерфейс аплаинса подключается к Edge/T1 для маршрутизации в интернет, остальные интерфейсы интерфейсы создаются как isolated и подключатся к NGFW.
-
На NGFW Заказчик настраивает 0.0.0.0 в сторону Edge/T1.
-
На Edge/T1 Заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону Provider Gateway/T0.
-
На аплаинсах выделяется отдельный интерфейс для сборки кластера.
-
Интерфейсы заказчика настраиваются как isolated и подключатся к аплаинсу.
- Общая схема
- Описание паттерна
- Реализация