隔离恢复环境网络架构
在这些解决方案架构中,沙箱被定义为一个隔离的网络环境,在这个环境中,备份副本可以被访问或用于启动虚拟机(VM)。 这些虚拟机与生产环境隔离,因此,具有相同 IP 地址的虚拟机造成的重复 IP 地址不会发生冲突,恢复后的虚拟机也不会与生产虚拟机发生交互。
虽然 Veeam® DataLabs 启用了沙箱概念,但尚未在 VMware NSX-T™ 环境中启用,因为它无法将 NSX-T 网段映射到隔离网段。 因此,这些解决方案架构通过同时使用 Veeam 和 VMware NSX-T 技术来实现沙箱:
- Veeam vPower NFS 服务 - 允许直接从备份文件启动虚拟机。
- Veeam 数据集成 API - 可在文件系统中加载备份文件。
- NSX-T 叠加网段 - 使虚拟机能够连接到从物理网络抽象出来的虚拟网络。
- NSX-T T1- 提供路由和网关防火墙功能。
- NSX-T 分布式防火墙 - 分布式防火墙使虚拟机的东西向流量具备防火墙功能。
隔离恢复环境还使用vSRX设备,这些设备与管理虚拟机一起托管在网关群集上,以提供空气屏蔽环境。 正常运行时,唯一的入站流量仅限于访问 DMZ 区域内的虚拟机。
上图显示了与用于隔离恢复环境的 VMware Cloud Foundation for Classic - Automated 实例的合并群集相关的网络。 客户的订单是
- 仅专用网络 VCF for Classic - Automated 实例,带有网关群集和 Juniper® vSRX 防火墙。
- 裸机服务器上的 Veeam 服务。
- 运行 Ubuntu 20.04 LTS 的裸机服务器。
IaaS调配时,客户:
- 删除配置过程中创建的样本段。
- 保留 T0 和 T1 的工作负载。
- 不更改服务 T0。
- 创建 DMZ 网段,并提供多个 Microsoft® Windows® 跳跃主机和 Linux® 堡垒主机。 这些行动在提供隔离的同时,也为网络小组提供了进入环境的途径。
- 配置 vSRX:
- 系统服务和本地管理员访问权限
- 管理服务,如 NTP、DNS、SNMP 和系统日志。
- 界面和区域。
- 地址簿、服务和安全策略。
- NAT、路由选择和 VPN。
- 通过 VCF for Classic - Automated 实例 VLAN 与 IBM Cloud® 网关设备(即网关群集中的 ESXi 主机)关联并路由。
vSRX 安全策略可实现下表列出的目标:
| 规则名称 | 源 | 目标 | 服务 | 操作 |
|---|---|---|---|---|
| 允许访问 DMZ | 网络管理员 IP | DMZ 子网 | SSH, RDP | 允许 |
| 允许访问实例管理 | DMZ | 实例管理 | SSH, HTTPS, TCP-9392, DNS | 允许 |
| 允许 Veeam 访问生产环境 | Veeam 备份服务器 IP | 生产vSphere管理网络 | HTTPS | 允许 |
| 允许 Veeam 访问代理服务器 | Veeam 备份服务器 IP | 生产代理网络 | SSH, TCP-6162, TCP-2500- 3300 | 允许 |
| 允许代理访问 Linux 加固存储库 | 生产代理网络 | Linux 强化存储库IP | TCP-2500- 3300 | 允许 |
| 允许 ADDNS 访问 IBM Cloud 服务 | ADDNS IP | DNS 和 NTP IP | TCP/UDP-53, UDP-123 | 允许 |
| 允许 VCF for Classic - Automated 子网之间的访问 | VCF for Classic - Automated 子网 | VCF for Classic - Automated 子网 | 任意 | 允许 |
| 允许 vCenter 接入 KMIP | vCenter IP | IBM Cloud 端点服务网络 | TCP 5696 | 允许 |
- TCP-9392- Veeam 远程控制台用于访问 Veeam 服务器的 TCP 端口号。
- 在此解决方案架构中,Veeam 备份代理为Linux。 因此,需要采取以下步骤:
- 备份服务器到代理,如 SSH、TCP-6162(Veeam Data Mover 端口)和 TCP-2500 至 3300(Veeam 数据传输通道)。
- 代理到备份服务器,如 TCP-2500 到 3300(Veeam 数据传输通道)。
- Veeam 备份服务器通过连接的网络访问隔离恢复 vCenter 和主机。
- Veeam 备份服务器通过连接的网络访问 Linux 加固存储库。
- 允许代理访问 Linux加固版本库规则可在“允许”和“拒绝”之间切换,以方便隔空操作。
- 如果使用 NFS,则会绕过 vSRX 执行此操作,因为存储 VLAN 未与托管 IBM Cloud 设备的 vSRX 网关设备关联。
- 如果 Allow access between VCF for Classic - Automated subnets 规则需要进一步锁定,有关详细信息,请参阅 Ports that are used by VMware Solutions。
- 如果使用加密,则 vCenter 需要访问 KMIP 服务。 该服务通过 IBM Cloud 端点服务网络 166.8.0.0/14 访问。
- 如果需要在 VCF for Classic - Automated 实例上自动执行第 2 天操作,有关详细信息,请参阅 用于部署和第 2 天操作的端口。
要启用气隙,客户必须
- 创建名为
Cyber-Tools-T1的 T1 并将其链接到工作负载 T0 上。Cyber-T1被配置为公布连接的网段。 此操作可实现连接网段上虚拟机之间的流量路由。 - 为其管理虚拟机创建一个分区。
- 创建运行 Linux 和 Ansible 的管理虚拟机。 管理虚拟机会在规定时间更改 vSRX 设备上的安全策略。
- 使用自动化服务器上的 cron 作业调度 Ansible playbook 的运行,该 playbook 会将入站防火墙规则从“拒绝”更改为“允许”。 备份窗口结束后,客户将入站防火墙规则从“允许”改为“拒绝”。
为实现生产环境的网络备份,客户需要
- 按照裸机服务器上的先决条件执行任务,使服务器为作为 Linux加固存储库做好准备。
- 使用启用了Linux加固存储库的 Veeam 备份服务器。
- 从 Veeam 备份服务器配置中删除隔离恢复环境 vCenter。
- 将生产 vCenter 添加到 Veeam 备份服务器配置中。
- 创建 Veeam VMware 代理服务器并将其部署到生产环境。
- 为所需的生产虚拟机创建网络备份任务。
为了在网络备份上执行与网络相关的任务,如扫描备份文件以查找恶意软件和从隔离网络上的备份中恢复虚拟机,客户需要
- 为其网络工具集(包括恶意软件扫描仪)创建一个细分市场。
- 创建名为
Isolated-NW-T1的 T1 并将其链接到工作负载 T0 上。Isolated-NW-T1仅配置为公布所有 NAT IP 地址。 此操作会停止对已连接网段的广告宣传,只对网段的 NAT IP 地址进行广告宣传。 - 创建以下两个分布式防火墙组:
- 名称:Cyber-Tools-Segments,种类:片段,成员: cyberools
- 名称Cyber-Isolated-Segments, Criteria:网段标签等于隔离网段,范围:网络
- 创建名为 Cyber-Isolated 的分布式防火墙策略,其中包含以下规则,以满足其隔离要求:
| 规则名称 | 源 | 目标 | 服务 | 操作 |
|---|---|---|---|---|
| 允许访问隔离区 | 网络工具 | 网络隔离区 | 全部 | 允许 |
| 允许隔离区之间的访问 | 网络隔离区 | 网络隔离区 | 全部 | 允许 |
| 拒绝访问隔离区 | 任意 | 网络隔离区 | 全部 | 拒绝 |
| 拒绝来自隔离区的访问 | 任意 | 网络隔离区 | 全部 | 拒绝 |
如果需要沙箱,客户可使用自己喜欢的脚本工具自动完成:
- 使用 T1 上该网络默认网关的 IP 地址,创建连接到 Isolated-NW-T1 的逻辑网段。 在下图中,您可以看到两个网段 Isolated-NW2 和 Isolated-NW3 的子网与 NW2 和 NW3 相匹配。 这些分段是通过标签和范围创建的,例如范围:网络和标签:Isolated-Segments. 这些标记和范围用于上表所列的分布式防火墙组和规则。
- 创建目标 NAT 规则,将源地址来自网络工具网段的 IP 数据包的目标子网映射到翻译子网。 例如,
Src=172.16.67.2->Dst=172.16.68.2 => Src=172.16.67.2->Dst=172.16.253.2。
下图显示了所需的交通流量:
- 绿色表示允许通行。
- 红色表示禁止通行。
