Виртуальный NGFW в качестве ядра сети в тенанте Заказчика в отдельном кластере ESXi
Чтобы обойти ограничение количества виртуальных интерфейсов на аплаинс, информационную безопасность виртуальной инфраструктуры Заказчика можно организовать с использованием паттерна виртуального NGFW в качестве ядра сети в тенанте Заказчика, размещенном в отдельном кластере ESXi. Возможна организация более 10 виртуальных интерфейсов на аплаинс.
Паттерн виртуального NGFW в качестве ядра сети в тенанте Заказчика в отдельном кластере ESXi имеет следующие преимущества и риски:
Преимущества паттерна |
Риски |
---|---|
|
|
Общая схема
Описание паттерна
Предварительные требования:
Наличие у Заказчика «Виртуальный ЦОД» в облаке Enterprise.
Реализация
- Single node:
Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.
Заказчик разворачивает виртуальный NGFW на инфраструктуре размещенной в ЦОД Cloud.ru.
Команда Cloud.ru настраивает bridge необходимых сегментов инфраструктуры Заказчика.
Внешний интерфейс аплаинса подключается к T1 для маршрутизации в сеть Интернет, остальные интерфейсы создаются как isolated и подключатся к NGFW.
На NGFW Заказчик настраивает 0.0.0.0 в сторону T1.
На T1 Заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону T0.
Интерфейсы Заказчика настраиваются как isolated и подключаются к аплаинсу.
- Cluster:
Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.
Заказчик разворачивает виртуальный NGFW на инфраструктуре размещенной в ЦОД Cloud.ru.
Команда Cloud.ru настраивает bridge необходимых сегментов инфраструктуры Заказчика.
Внешний интерфейс аплаинса подключается к T1 для маршрутизации в сеть Интернет, остальные интерфейсы создаются как isolated и подключатся к NGFW.
На NGFW Заказчик настраивает 0.0.0.0 в сторону T1.
На T1 Заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону T0.
На аплаинсах выделяется отдельный интерфейс для сборки кластера.
Интерфейсы Заказчика настраиваются как isolated и подключаются к аплаинсу.