Tungsten Fabric架構(gòu)解析丨TF基于應(yīng)用程序的安

Hi！這里是Tungsten Fabric架構(gòu)解析內(nèi)容的最后一篇，介紹TF基于應(yīng)用程序的安全策略。

Tungsten Fabric架構(gòu)解析系列文章，由TF中文社區(qū)為你呈現(xiàn)，旨在幫助初入TF社區(qū)的朋友答疑解惑。我們將系統(tǒng)介紹TF有哪些特點(diǎn)、如何運(yùn)作、如何收集/分析/部署、如何編排、如何連接到物理網(wǎng)絡(luò)等話題。

常規(guī)防火墻策略包含基于單個(gè)IP地址或子網(wǎng)范圍的規(guī)則。在任何規(guī)模的數(shù)據(jù)中心中，這都會(huì)導(dǎo)致防火墻規(guī)則的激增，這些規(guī)則在創(chuàng)建時(shí)難以管理，在故障排除時(shí)也難以理解。

這是因?yàn)?a title="服務(wù)器" target="_blank" href="http://www.kemok4.com/">服務(wù)器或VM的IP地址與應(yīng)用程序、應(yīng)用程序所有者、位置或任何其他屬性無關(guān)。例如，考慮一個(gè)擁有兩個(gè)數(shù)據(jù)中心并在開發(fā)和生產(chǎn)中部署三層應(yīng)用程序的企業(yè)，如下圖所示。

在該企業(yè)中，要求每層應(yīng)用程序的每個(gè)實(shí)例只能與同一實(shí)例中的下一層實(shí)例通信。如圖所示，這需要針對每個(gè)應(yīng)用程序?qū)嵗膯为?dú)的策略。

在解決問題時(shí)，管理員必須知道IP地址和應(yīng)用程序?qū)嵗g的關(guān)系，并且每次部署新實(shí)例時(shí)，都必須編寫新的防火墻規(guī)則。

應(yīng)用標(biāo)簽

Tungsten Fabric控制器支持基于標(biāo)簽的安全策略，可應(yīng)用于項(xiàng)目、網(wǎng)絡(luò)、vRouters、VM和接口。

標(biāo)簽在對象模型中，傳播到應(yīng)用了標(biāo)簽的對象中包含的所有對象，并且在包含層次結(jié)構(gòu)的較低級別應(yīng)用的標(biāo)簽，優(yōu)先于在較高級別應(yīng)用的標(biāo)簽。標(biāo)簽具有名稱和值。許多標(biāo)簽名稱作為Tungsten Fabric發(fā)布版本的一部分。

下表顯示了標(biāo)簽類型的典型用途：

如表中所示，除了Tungsten Fabric提供的標(biāo)簽類型之外，用戶還可以根據(jù)需要?jiǎng)?chuàng)建自己的自定義標(biāo)簽名稱，并且有一個(gè)_label _type標(biāo)簽，可用于更精細(xì)地調(diào)整數(shù)據(jù)流。

創(chuàng)建應(yīng)用程序策略

應(yīng)用程序策略包含基于標(biāo)記值和服務(wù)組的規(guī)則，這些值是TCP或UDP端口號(hào)的集合。

首先，安全管理員為應(yīng)用程序堆棧分配類型為_application _的標(biāo)簽，并為應(yīng)用程序的每個(gè)軟件組件分配類型為_tier _的標(biāo)簽。如下圖所示。

在此示例中，應(yīng)用程序被標(biāo)記為FinancePortal _，層被標(biāo)記為_web，app_和_db。Service組已為進(jìn)入應(yīng)用程序堆棧以及每一層之間的流量創(chuàng)建。

然后，安全管理員創(chuàng)建一個(gè)名為_Portal-3-Tier _containing規(guī)則的應(yīng)用程序策略，該策略將僅允許所需的流量。

接下來，應(yīng)用程序策略集與應(yīng)用程序標(biāo)記_FinancePortal關(guān)聯(lián)，并包含應(yīng)用程序策略_Portal-3-Tier。

此時(shí)，可以啟動(dòng)應(yīng)用程序堆棧，并將標(biāo)簽應(yīng)用于Tungsten Fabric控制器中的各個(gè)VM。這會(huì)導(dǎo)致控制器計(jì)算需要將哪些路由發(fā)送到每個(gè)vRouter以強(qiáng)制執(zhí)行應(yīng)用程序策略集，并將這些路由發(fā)送到每個(gè)vRouter。

如果每個(gè)軟件組件都有一個(gè)實(shí)例，則每個(gè)vRouter中的路由表如下：

網(wǎng)絡(luò)和虛擬機(jī)在這里被命名為它們所在的層。實(shí)際上，實(shí)體名稱和層之間的關(guān)系通常不會(huì)那么簡單。

從表中可以看出，路由僅啟用應(yīng)用策略中指定的流量，但此處基于標(biāo)簽的規(guī)則已轉(zhuǎn)換為vRouter能夠應(yīng)用的基于網(wǎng)絡(luò)地址的防火墻規(guī)則。

控制部署之間的流量

成功創(chuàng)建應(yīng)用程序堆棧之后，讓我們看一下創(chuàng)建堆棧的另一個(gè)部署時(shí)會(huì)發(fā)生什么，如下所示。

原始策略中沒有任何內(nèi)容阻止流量在一個(gè)部署中的層之間流動(dòng)到另一個(gè)部署中的層。

可以通過以下方式來修改此行為：使用_deployment _tag標(biāo)記每個(gè)堆棧的每個(gè)組件，并在應(yīng)用程序策略中添加_match _condition來允許流量僅在部署標(biāo)簽匹配時(shí)才在層之間流動(dòng)。

更新后的政策如下所示：

現(xiàn)在，流量符合嚴(yán)格的要求，即流量僅在同一堆棧內(nèi)的組件之間流動(dòng)。

更高級的應(yīng)用程序策略

通過應(yīng)用不同類型的標(biāo)簽，可以將安全策略應(yīng)用于多個(gè)維度，所有這些都可以在單個(gè)策略中應(yīng)用。

例如，在下圖中，單個(gè)策略可以根據(jù)站點(diǎn)對單個(gè)堆棧內(nèi)的流量進(jìn)行分段，但允許在站點(diǎn)內(nèi)共享數(shù)據(jù)庫層。

如果在相同的站點(diǎn)和部署組合中部署了多個(gè)堆棧，則可以創(chuàng)建實(shí)例名稱的自定義標(biāo)簽，并且可以使用實(shí)例標(biāo)簽上的匹配條件來創(chuàng)建所需的限制，如下圖所示。

Tungsten Fabric中的應(yīng)用程序策略功能提供了一個(gè)非常強(qiáng)大的實(shí)施框架，同時(shí)可以顯著簡化策略并減少其數(shù)量。

至此，Tungsten Fabric Carbide架構(gòu)解析系列文章連載完畢，往期回顧——

第一篇：TF主要特點(diǎn)和用例
第二篇：TF怎么運(yùn)作
第三篇：詳解vRouter體系結(jié)構(gòu)
第四篇：TF的服務(wù)鏈
第五篇：vRouter的部署選項(xiàng)
第六篇：TF如何收集、分析、部署？
第七篇：TF如何編排
第八篇：TF支持API一覽
第九篇：TF如何連接到物理網(wǎng)絡(luò)

關(guān)于Tungsten Fabric：
Tungsten Fabric項(xiàng)目是一個(gè)開源項(xiàng)目協(xié)議，它基于標(biāo)準(zhǔn)協(xié)議開發(fā)，并且提供網(wǎng)絡(luò)虛擬化和網(wǎng)絡(luò)安全所必需的所有組件。項(xiàng)目的組件包括：SDN控制器，虛擬路由器，分析引擎，北向API的發(fā)布，硬件集成功能，云編排軟件和廣泛的REST API。

關(guān)于TF中文社區(qū)：
TF中文社區(qū)由中國的一群關(guān)注和熱愛SDN的志愿者自發(fā)發(fā)起，有技術(shù)老鳥，市場老炮，也有行業(yè)專家，資深用戶。將作為連接社區(qū)與中國的橋梁，傳播資訊，提交問題，組織活動(dòng)，聯(lián)合一切對多云互聯(lián)網(wǎng)絡(luò)有興趣的力量，切實(shí)解決云網(wǎng)絡(luò)建設(shè)過程中遇到的問題。

關(guān)注微信：TF中文社區(qū)