本文講的是怎樣將現有應用遷移到 vmware nsx,安全策略肯定會有需要調整的時候,而識別和設計微分段區和層,有可能非常棘手。
wmware的nsx虛擬網路技術可以幫助公司企業獲得更高水平的網路安全,但怎樣部署,取決於你用的是全新應用(新區建設),還是從現有基礎設施中將應用遷進nsx(舊城改造)。
nsx的微分段功能,基本上就是對每個伺服器設定虛擬防火牆,控制進出流量,限制黑客在網路內的遊弋探索,讓應用和資料保護工作更簡單易行。它實現過去只有靠超級昂貴和複雜的硬體才能達到的安全水準。
從安全的角度,新區建設模式是很理想的,因為可以從一開始就融入安全基因,而且微分段設定也相對容易。安全團隊可以從一開始就規劃好所需資料中心的不同區和層,並為之分配ip位址。然後,他們可以建立定製安全策略,支援該分段架構精密匹配需求。一切都是那麼乾淨有序。
然而,大多數公司將要面對的,可能還是舊城改造場景,把現有應用從實體遷移到虛擬環境。這種情況下,現有安全策略就需要做遷移和調整,但問題是,原始設計中就沒有微分段,讓在微分段環境中識別和設計各個區與層變得更加困難。
搞清哪個伺服器應該在放在哪個區,定義必要的防火牆規則等工作可能會非常棘手,因為安全團隊對應用元件之間的流量情況往往不夠清楚。那麼,你該怎樣規劃和管理遺留應用的nsx虛擬化環境遷移呢?
應用連線性:發現的過程
最關鍵的第一步,是發現和對映需遷移應用的連線流。你得知道現有流,才能夠在遷往nsx時做出必要的改變。
這是乙個不應該被低估的急難險重任務。規範的公司,以機器可讀的形式保有對應用流量的最新準確記錄,所以能夠快速啟動遷移過程。而大多數情況下,該發現步驟會結合上所有可用資料來源:從cmdb或自產庫中匯入資料,計算機輔助發現,以及智慧型流量應用連線性發現。
應用搬家
一旦成功發現了所有流量,就可以開始遷移應用到nsx了。首先是識別出需要移動的伺服器,對每個伺服器你都得在新環境中定義出匹配伺服器。
為做到這一點,你得弄一張對映表,確認每一台新伺服器的新ip位址。這一階段,你還應該發現和定義每一台伺服器的工作負載,覆蓋需要的儲存空間、cpu、作業系統和資料庫。下一步就是把現有應用安裝到伺服器上了。
這涉及到重配置每台已遷移伺服器的連線流,可能連線這些遷移伺服器的其他很多伺服器和應用的連線流也要重配置。你的策略可能需要做些調整,也許還需要編寫新的策略,讓nsx和內部環境協調工作,不造成按新伺服器ip位址開工的已發現流量模式產生中斷。
另外,你還要確保vmware提供的安全控制和策略支援你的現有應用流。如果你沒做這一步,僅僅依靠舊有過濾策略,與新伺服器的通訊可能會被阻止。流量必須要能進出新位址——所以必須確保你的策略支援這一點,無論是在nsx還是在內部環境。
於是,你網路安全裝置的沒一條過濾規則都得仔細檢查一遍,找出伺服器舊位址出現的所有地方,然後複製這些規則,將新伺服器位址新增進去。
新過濾策略寫好後,就需將它們部署到相關裝置上。該過程包括配置防火牆、路由器和負載平衡器,讓流量可以進出新伺服器。
從測試到生產
這一階段,你會用到可以深入測試的能用系統,以確保全部所需功能都已就位,每個功能都按計畫執行。只有確信測試環境中的應用與最終生產環境相當,才可以走到下一步驟。
從測試到生產,基本上就是重新命名的過程:伺服器會有個公開名稱,使用者也需要乙個**來訪問你的應用。遷到了nsx,你就得重配置官方訪問點,讓其指向你的nsx部署,而不是指向原有伺服器。這一階段,檢查是否需要對過濾測試進行調整,也是非常重要的。
退役遺留版本
最後階段,就是退役應用連線的遺留版本——但千萬別在絕對就緒之前做這事兒。一定要確保你的新系統有時間成熟,是經過足夠時間的測試而非常穩定的。為避免造成安全缺口,給黑客留下入口點,最佳實踐要求退役所有來自舊有防火牆、路由器和負載平衡器的過濾規則。不過,在退役這些規則之前,不要忘了核實這些規則不再被nsx部署的其他應用所使用。
管理網路
一旦遷移過程完成,你就要開始管理和維護整個企業網路中的安全策略了。最有效的方法,是使用全面支援nsx防火牆和雲安全控制,以及你現有傳統內部防火牆資產的自動化解決方案。
值得指出的是,你的nsx部署也要符合現有網路的合規和審計要求,所以你需要乙個能夠提供物理和虛擬兩種網路功能可見性的安全管理解決方案,這樣,其合規狀態才能夠被集中監視和記錄下來,供審計使用。
向nsx遷移,也是去除多年積攢下來的非必要安全策略的乙個好機會,比如哪些重複的、冗餘的、不必要的規則。良好的安全策略管理解決方案,將會自動標記冗餘和其他風險,易於理順策略。
總之,向nsx遷移應用,需要可重複的強過程以確保成功。沒有萬靈丹,一鍵遷移這種事想都不要想。自動化對該過程的成功至關重要,可以省去很多耗時且易出錯的人工安全過程,比如連線的發現和對映、遷移、持續的維護。因此,你的團隊可以充分利用nsx部署的好處,專注於最大化該服務帶來的靈活性和網路安全的增強。
將cvs遷移到svn
因為有新的ror成員加入我們團隊,極大增強了我們的技術實力,原先是在內網架了cvs,現在要在公網上,就需要找伺服器了,原先可以放朋友的伺服器上,不過他的伺服器因為某些原因下架了 對於免費的cvs不太了解,只好找免費的svn放一下。遷移的過程也還是費了鄱波折,之前只用過vss,對於cvs,svn的一些...
將Struts應用遷移到Struts 2 一
大多數人都會熟悉struts,無論是從專案實戰中獲得的經驗還是從書中了解到的知識。在這一系列文章裡,我們將通過乙個由struts遷移到struts 2的簡單應用例子向大家展現struts 2的所有特徵。在我們開始介紹這個例子之前,你需要去了解一點struts 2的背景知識。文章的第一部分將介紹str...
將MySQL資料遷移到Oracle
因為專案的原因,今晚將mysql資料庫的內容嘗試遷移到oracle,雖然結果失敗,不過學到了不少,下次就不一定了,哈哈 因為之前專案是使用mysql資料庫的,現在因為新公司要求使用oracle 公司大得很 不得不嘗試將以前專案進行遷移。經過查詢相關文件,最終選定使用oracle sql develo...