Tungsten Fabric架構解析丨TF基於應用程式的安全策略

TF中文社群發表於2020-02-13

原文網址 : http://blog.itpub.net/69957171/viewspace-2675500/

Hi！這裡是Tungsten Fabric架構解析內容的最後一篇，介紹TF基於應用程式的安全策略。Tungsten Fabric架構解析系列文章，由TF中文社群為你呈現，旨在幫助初入TF社群的朋友答疑解惑。我們將系統介紹TF有哪些特點、如何運作、如何收集/分析/部署、如何編排、如何連線到物理網路等話題。

常規防火牆策略包含基於單個IP地址或子網範圍的規則。在任何規模的資料中心中，這都會導致防火牆規則的激增，這些規則在建立時難以管理，在故障排除時也難以理解。

這是因為伺服器或VM的IP地址與應用程式、應用程式所有者、位置或任何其他屬性無關。例如，考慮一個擁有兩個資料中心並在開發和生產中部署三層應用程式的企業，如下圖所示。

在該企業中，要求每層應用程式的每個例項只能與同一例項中的下一層例項通訊。如圖所示，這需要針對每個應用程式例項的單獨的策略。

在解決問題時，管理員必須知道IP地址和應用程式例項之間的關係，並且每次部署新例項時，都必須編寫新的防火牆規則。

應用標籤

Tungsten Fabric控制器支援基於標籤的安全策略，可應用於專案、網路、vRouters、VM和介面。

標籤在物件模型中，傳播到應用了標籤的物件中包含的所有物件，並且在包含層次結構的較低階別應用的標籤，優先於在較高階別應用的標籤。標籤具有名稱和值。許多標籤名稱作為Tungsten Fabric釋出版本的一部分。

下表顯示了標籤型別的典型用途：

如表中所示，除了Tungsten Fabric提供的標籤型別之外，使用者還可以根據需要建立自己的自定義標籤名稱，並且有一個_label _type標籤，可用於更精細地調整資料流。

建立應用程式策略

應用程式策略包含基於標記值和服務組的規則，這些值是TCP或UDP埠號的集合。

首先，安全管理員為應用程式堆疊分配型別為_application _的標籤，併為應用程式的每個軟體元件分配型別為_tier _的標籤。如下圖所示。

在此示例中，應用程式被標記為FinancePortal _，層被標記為_web，app_和_db。 Service組已為進入應用程式堆疊以及每一層之間的流量建立。

然後，安全管理員建立一個名為_Portal-3-Tier _containing規則的應用程式策略，該策略將僅允許所需的流量。

接下來，應用程式策略集與應用程式標記_FinancePortal關聯，幷包含應用程式策略_Portal-3-Tier。

此時，可以啟動應用程式堆疊，並將標籤應用於Tungsten Fabric控制器中的各個VM。這會導致控制器計算需要將哪些路由傳送到每個vRouter以強制執行應用程式策略集，並將這些路由傳送到每個vRouter。

如果每個軟體元件都有一個例項，則每個vRouter中的路由表如下：

網路和虛擬機器在這裡被命名為它們所在的層。實際上，實體名稱和層之間的關係通常不會那麼簡單。

從表中可以看出，路由僅啟用應用策略中指定的流量，但此處基於標籤的規則已轉換為vRouter能夠應用的基於網路地址的防火牆規則。

控制部署之間的流量

成功建立應用程式堆疊之後，讓我們看一下建立堆疊的另一個部署時會發生什麼，如下所示。

原始策略中沒有任何內容阻止流量在一個部署中的層之間流動到另一個部署中的層。

可以透過以下方式來修改此行為：使用_deployment _tag標記每個堆疊的每個元件，並在應用程式策略中新增_match _condition來允許流量僅在部署標籤匹配時才在層之間流動。

更新後的政策如下所示：

現在，流量符合嚴格的要求，即流量僅在同一堆疊內的元件之間流動。

更高階的應用程式策略

透過應用不同型別的標籤，可以將安全策略應用於多個維度，所有這些都可以在單個策略中應用。

例如，在下圖中，單個策略可以根據站點對單個堆疊內的流量進行分段，但允許在站點內共享資料庫層。

如果在相同的站點和部署組合中部署了多個堆疊，則可以建立例項名稱的自定義標籤，並且可以使用例項標籤上的匹配條件來建立所需的限制，如下圖所示。

Tungsten Fabric中的應用程式策略功能提供了一個非常強大的實施框架，同時可以顯著簡化策略並減少其數量。

·END·

至此，Tungsten Fabric Carbide 架構解析系列文章連載完畢，往期回顧——

第一篇： TF主要特點和用例

第二篇： TF怎麼運作

第三篇：詳解vRouter體系結構

第四篇： TF的服務鏈

第五篇： vRouter的部署選項

第六篇： TF如何收集、分析、部署？

第七篇： TF如何編排

第八篇： TF支援API一覽

第九篇： TF如何連線到物理網路

關注微信：TF中文社群

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/69957171/viewspace-2675500/，如需轉載，請註明出處，否則將追究法律責任。

相關文章

Tungsten Fabric架構解析丨TF如何編排
2019-12-31
架構
Tungsten Fabric架構解析丨TF的服務鏈
2019-12-27
架構
Tungsten Fabric架構解析丨TF支援API一覽
2020-01-13
架構API
Tungsten Fabric架構解析丨TF怎麼運作？
2019-12-13
架構
Tungsten Fabric架構解析丨TF如何收集、分析、部署？
2019-12-27
架構
Tungsten Fabric架構解析｜TF主要特點和用例
2019-12-13
架構
Tungsten Fabric架構解析丨vRouter的部署選項
2019-12-27
架構VR
Tungsten Fabric架構解析丨詳解vRouter體系結構
2019-12-23
架構VR
TF實戰丨使用Vagrant安裝Tungsten Fabric
2020-06-19
Tungsten Fabric架構和最新技術進展丨TF成立大會演講實錄
2019-12-27
架構
Tungsten Fabric入門寶典丨TF元件的七種“武器”
2020-04-03
元件
Tungsten Fabric知識庫丨這裡有18個TF補丁程式，建議收藏
2020-09-24
Tungsten Fabric入門寶典丨關於叢集更新的那些事
2020-05-23
Tungsten Fabric入門寶典丨關於安裝的那些事（下）
2020-04-20
Tungsten Fabric知識庫丨構建、安裝與公有云部署
2020-09-08
Tungsten Fabric入門寶典丨關於服務鏈、BGPaaS及其它
2020-06-03
Tungsten Fabric入門寶典丨編排器整合
2020-04-10
Tungsten Fabric知識庫丨更多元件內部探秘
2020-09-01
元件
Tungsten Fabric知識庫丨vRouter內部執行探秘
2020-08-14
VR
Tungsten Fabric入門寶典丨關於多叢集和多資料中心
2020-06-05
TF功能開發路線圖：盤點2021年Tungsten Fabric聚焦領域
2020-12-30
基於TRIZ架構下的網路安全與應用
2021-07-09
架構
OpenStack上海峰會觀感丨Tungsten Fabric在2019開源基礎設施峰會
2019-12-26
Tungsten Fabric知識庫丨關於OpenStack、K8s、CentOS安裝問題的補充
2020-09-22
K8SCentOS
Tungsten Fabric入門寶典丨多編排器用法及配置
2020-06-17
Tungsten Fabric知識庫丨測試2000個vRouter節點部署
2020-09-15
VR
Tungsten Fabric入門寶典丨8個典型故障及排查Tips
2020-05-18
Tungsten Fabric入門寶典丨首次啟動和執行指南
2020-03-27
Tungsten Fabric入門寶典丨開始第二天的工作
2020-05-14
如何基於 Redis 構建應用程式元件
2018-04-12
Redis元件
Fabric基礎架構原理(4)：鏈碼
2019-03-28
架構
輕鬆構建基於 Serverless 架構的小程式
2020-02-25
Server架構
裸金屬雲基礎架構的應用場景和趨勢解析
2018-07-21
架構
基於TF打通異構資源網路實踐丨OpenInfra Days China實錄
2020-08-27
Tungsten Fabric入門寶典丨說說L3VPN及EVPN整合
2020-05-27
Google官方應用程式架構指南
2019-03-01
Go架構
Web3.0應用程式架構
2022-05-10
Web架構
談談關於 iOS 的架構以及應用
2019-04-26
iOS架構