Виртуальный NGFW в качестве ядра сети в тенанте Заказчика
Паттерн виртуального NGFW в качестве ядра сети в тенанте заказчика на платформе Облако VMware имеет следующие преимущества и риски:
Преимущества паттерна |
Риски |
|---|---|
|
|
Общая схема
Описание паттерна
Ограничения vmware не позволяют выделить больше 10 виртуальных интерфейсов на аплаинс.
Реализация
- Single node:
Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.
В тенанте Заказчика разворачивается виртуальная машина NGFW.
Внешний интерфейс аплаинса подключается к Edge/T1 для маршрутизации в интернет, остальные интерфейсы создаются как isolated и подключатся к NGFW.
На NGFW Заказчик настраивает 0.0.0.0 в сторону Edge/T1.
На Edge/T1 Заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону Provider Gateway/T0.
Интерфейсы Заказчика настраиваются как isolated и подключатся к аплаинсу.
- Cluster:
Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.
В тенанте Заказчика разворачивается виртуальная машина NGFW.
Внешний интерфейс аплаинса подключается к Edge/T1 для маршрутизации в интернет, остальные интерфейсы интерфейсы создаются как isolated и подключатся к NGFW.
На NGFW Заказчик настраивает 0.0.0.0 в сторону Edge/T1.
На Edge/T1 Заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону Provider Gateway/T0.
На аплаинсах выделяется отдельный интерфейс для сборки кластера.
Интерфейсы заказчика настраиваются как isolated и подключатся к аплаинсу.
- Общая схема
- Описание паттерна
- Реализация