Tungsten Fabric架構解析丨TF基于應用程序的安

Hi！這里是Tungsten Fabric架構解析內容的最后一篇，介紹TF基于應用程序的安全策略。

Tungsten Fabric架構解析系列文章，由TF中文社區為你呈現，旨在幫助初入TF社區的朋友答疑解惑。我們將系統介紹TF有哪些特點、如何運作、如何收集/分析/部署、如何編排、如何連接到物理網絡等話題。

常規防火墻策略包含基于單個IP地址或子網范圍的規則。在任何規模的數據中心中，這都會導致防火墻規則的激增，這些規則在創建時難以管理，在故障排除時也難以理解。

這是因為服務器或VM的IP地址與應用程序、應用程序所有者、位置或任何其他屬性無關。例如，考慮一個擁有兩個數據中心并在開發和生產中部署三層應用程序的企業，如下圖所示。

在該企業中，要求每層應用程序的每個實例只能與同一實例中的下一層實例通信。如圖所示，這需要針對每個應用程序實例的單獨的策略。

在解決問題時，管理員必須知道IP地址和應用程序實例之間的關系，并且每次部署新實例時，都必須編寫新的防火墻規則。

應用標簽

Tungsten Fabric控制器支持基于標簽的安全策略，可應用于項目、網絡、vRouters、VM和接口。

標簽在對象模型中，傳播到應用了標簽的對象中包含的所有對象，并且在包含層次結構的較低級別應用的標簽，優先于在較高級別應用的標簽。標簽具有名稱和值。許多標簽名稱作為Tungsten Fabric發布版本的一部分。

下表顯示了標簽類型的典型用途：

如表中所示，除了Tungsten Fabric提供的標簽類型之外，用戶還可以根據需要創建自己的自定義標簽名稱，并且有一個_label _type標簽，可用于更精細地調整數據流。

創建應用程序策略

應用程序策略包含基于標記值和服務組的規則，這些值是TCP或UDP端口號的集合。

首先，安全管理員為應用程序堆棧分配類型為_application _的標簽，并為應用程序的每個軟件組件分配類型為_tier _的標簽。如下圖所示。

在此示例中，應用程序被標記為FinancePortal _，層被標記為_web，app_和_db。Service組已為進入應用程序堆棧以及每一層之間的流量創建。

然后，安全管理員創建一個名為_Portal-3-Tier _containing規則的應用程序策略，該策略將僅允許所需的流量。

接下來，應用程序策略集與應用程序標記_FinancePortal關聯，并包含應用程序策略_Portal-3-Tier。

此時，可以啟動應用程序堆棧，并將標簽應用于Tungsten Fabric控制器中的各個VM。這會導致控制器計算需要將哪些路由發送到每個vRouter以強制執行應用程序策略集，并將這些路由發送到每個vRouter。

如果每個軟件組件都有一個實例，則每個vRouter中的路由表如下：

網絡和虛擬機在這里被命名為它們所在的層。實際上，實體名稱和層之間的關系通常不會那么簡單。

從表中可以看出，路由僅啟用應用策略中指定的流量，但此處基于標簽的規則已轉換為vRouter能夠應用的基于網絡地址的防火墻規則。

控制部署之間的流量

成功創建應用程序堆棧之后，讓我們看一下創建堆棧的另一個部署時會發生什么，如下所示。

原始策略中沒有任何內容阻止流量在一個部署中的層之間流動到另一個部署中的層。

可以通過以下方式來修改此行為：使用_deployment _tag標記每個堆棧的每個組件，并在應用程序策略中添加_match _condition來允許流量僅在部署標簽匹配時才在層之間流動。

更新后的政策如下所示：

現在，流量符合嚴格的要求，即流量僅在同一堆棧內的組件之間流動。

更高級的應用程序策略

通過應用不同類型的標簽，可以將安全策略應用于多個維度，所有這些都可以在單個策略中應用。

例如，在下圖中，單個策略可以根據站點對單個堆棧內的流量進行分段，但允許在站點內共享數據庫層。

如果在相同的站點和部署組合中部署了多個堆棧，則可以創建實例名稱的自定義標簽，并且可以使用實例標簽上的匹配條件來創建所需的限制，如下圖所示。

Tungsten Fabric中的應用程序策略功能提供了一個非常強大的實施框架，同時可以顯著簡化策略并減少其數量。

至此，Tungsten Fabric Carbide架構解析系列文章連載完畢，往期回顧——

第一篇：TF主要特點和用例
第二篇：TF怎么運作
第三篇：詳解vRouter體系結構
第四篇：TF的服務鏈
第五篇：vRouter的部署選項
第六篇：TF如何收集、分析、部署？
第七篇：TF如何編排
第八篇：TF支持API一覽
第九篇：TF如何連接到物理網絡

關于Tungsten Fabric：
Tungsten Fabric項目是一個開源項目協議，它基于標準協議開發，并且提供網絡虛擬化和網絡安全所必需的所有組件。項目的組件包括：SDN控制器，虛擬路由器，分析引擎，北向API的發布，硬件集成功能，云編排軟件和廣泛的REST API。

關于TF中文社區：
TF中文社區由中國的一群關注和熱愛SDN的志愿者自發發起，有技術老鳥，市場老炮，也有行業專家，資深用戶。將作為連接社區與中國的橋梁，傳播資訊，提交問題，組織活動，聯合一切對多云互聯網絡有興趣的力量，切實解決云網絡建設過程中遇到的問題。

關注微信：TF中文社區