Hi！這里是Tungsten Fabric架構解析內(nèi)容的最后一篇，介紹TF基于應用程序的安全策略。

成都創(chuàng)新互聯(lián)公司網(wǎng)站建設服務商，為中小企業(yè)提供做網(wǎng)站、網(wǎng)站建設服務，網(wǎng)站設計，綿陽服務器托管等一站式綜合服務型公司，專業(yè)打造企業(yè)形象網(wǎng)站，讓您在眾多競爭對手中脫穎而出成都創(chuàng)新互聯(lián)公司。

Tungsten Fabric架構解析系列文章，由TF中文社區(qū)為你呈現(xiàn)，旨在幫助初入TF社區(qū)的朋友答疑解惑。我們將系統(tǒng)介紹TF有哪些特點、如何運作、如何收集/分析/部署、如何編排、如何連接到物理網(wǎng)絡等話題。

常規(guī)防火墻策略包含基于單個IP地址或子網(wǎng)范圍的規(guī)則。在任何規(guī)模的數(shù)據(jù)中心中，這都會導致防火墻規(guī)則的激增，這些規(guī)則在創(chuàng)建時難以管理，在故障排除時也難以理解。

這是因為服務器或VM的IP地址與應用程序、應用程序所有者、位置或任何其他屬性無關。例如，考慮一個擁有兩個數(shù)據(jù)中心并在開發(fā)和生產(chǎn)中部署三層應用程序的企業(yè)，如下圖所示。

在該企業(yè)中，要求每層應用程序的每個實例只能與同一實例中的下一層實例通信。如圖所示，這需要針對每個應用程序?qū)嵗膯为毜牟呗浴?/p>

在解決問題時，管理員必須知道IP地址和應用程序?qū)嵗g的關系，并且每次部署新實例時，都必須編寫新的防火墻規(guī)則。

應用標簽

Tungsten Fabric控制器支持基于標簽的安全策略，可應用于項目、網(wǎng)絡、vRouters、VM和接口。

標簽在對象模型中，傳播到應用了標簽的對象中包含的所有對象，并且在包含層次結構的較低級別應用的標簽，優(yōu)先于在較高級別應用的標簽。標簽具有名稱和值。許多標簽名稱作為Tungsten Fabric發(fā)布版本的一部分。

下表顯示了標簽類型的典型用途：

如表中所示，除了Tungsten Fabric提供的標簽類型之外，用戶還可以根據(jù)需要創(chuàng)建自己的自定義標簽名稱，并且有一個_label _type標簽，可用于更精細地調(diào)整數(shù)據(jù)流。

創(chuàng)建應用程序策略

應用程序策略包含基于標記值和服務組的規(guī)則，這些值是TCP或UDP端口號的集合。

首先，安全管理員為應用程序堆棧分配類型為_application _的標簽，并為應用程序的每個軟件組件分配類型為_tier _的標簽。如下圖所示。

在此示例中，應用程序被標記為FinancePortal _，層被標記為_web，app_和_db。Service組已為進入應用程序堆棧以及每一層之間的流量創(chuàng)建。

然后，安全管理員創(chuàng)建一個名為_Portal-3-Tier _containing規(guī)則的應用程序策略，該策略將僅允許所需的流量。

接下來，應用程序策略集與應用程序標記_FinancePortal關聯(lián)，并包含應用程序策略_Portal-3-Tier。

此時，可以啟動應用程序堆棧，并將標簽應用于Tungsten Fabric控制器中的各個VM。這會導致控制器計算需要將哪些路由發(fā)送到每個vRouter以強制執(zhí)行應用程序策略集，并將這些路由發(fā)送到每個vRouter。

如果每個軟件組件都有一個實例，則每個vRouter中的路由表如下：

網(wǎng)絡和虛擬機在這里被命名為它們所在的層。實際上，實體名稱和層之間的關系通常不會那么簡單。

從表中可以看出，路由僅啟用應用策略中指定的流量，但此處基于標簽的規(guī)則已轉換為vRouter能夠應用的基于網(wǎng)絡地址的防火墻規(guī)則。

控制部署之間的流量

成功創(chuàng)建應用程序堆棧之后，讓我們看一下創(chuàng)建堆棧的另一個部署時會發(fā)生什么，如下所示。

原始策略中沒有任何內(nèi)容阻止流量在一個部署中的層之間流動到另一個部署中的層。

可以通過以下方式來修改此行為：使用_deployment _tag標記每個堆棧的每個組件，并在應用程序策略中添加_match _condition來允許流量僅在部署標簽匹配時才在層之間流動。

更新后的政策如下所示：

現(xiàn)在，流量符合嚴格的要求，即流量僅在同一堆棧內(nèi)的組件之間流動。

更高級的應用程序策略

通過應用不同類型的標簽，可以將安全策略應用于多個維度，所有這些都可以在單個策略中應用。

例如，在下圖中，單個策略可以根據(jù)站點對單個堆棧內(nèi)的流量進行分段，但允許在站點內(nèi)共享數(shù)據(jù)庫層。

如果在相同的站點和部署組合中部署了多個堆棧，則可以創(chuàng)建實例名稱的自定義標簽，并且可以使用實例標簽上的匹配條件來創(chuàng)建所需的限制，如下圖所示。

Tungsten Fabric中的應用程序策略功能提供了一個非常強大的實施框架，同時可以顯著簡化策略并減少其數(shù)量。

---

至此，Tungsten Fabric Carbide架構解析系列文章連載完畢，往期回顧——

第一篇：TF主要特點和用例
第二篇：TF怎么運作
第三篇：詳解vRouter體系結構
第四篇：TF的服務鏈
第五篇：vRouter的部署選項
第六篇：TF如何收集、分析、部署？
第七篇：TF如何編排
第八篇：TF支持API一覽
第九篇：TF如何連接到物理網(wǎng)絡

---

關于Tungsten Fabric：
Tungsten Fabric項目是一個開源項目協(xié)議，它基于標準協(xié)議開發(fā)，并且提供網(wǎng)絡虛擬化和網(wǎng)絡安全所必需的所有組件。項目的組件包括：SDN控制器，虛擬路由器，分析引擎，北向API的發(fā)布，硬件集成功能，云編排軟件和廣泛的REST API。

關于TF中文社區(qū)：
TF中文社區(qū)由中國的一群關注和熱愛SDN的志愿者自發(fā)發(fā)起，有技術老鳥，市場老炮，也有行業(yè)專家，資深用戶。將作為連接社區(qū)與中國的橋梁，傳播資訊，提交問題，組織活動，聯(lián)合一切對多云互聯(lián)網(wǎng)絡有興趣的力量，切實解決云網(wǎng)絡建設過程中遇到的問題。

---

關注微信：TF中文社區(qū)

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

網(wǎng)頁名稱：TungstenFabric架構解析丨TF基于應用程序的安-創(chuàng)新互聯(lián)
URL分享：http://jinyejixie.com/article0/djsdio.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站建設、網(wǎng)站設計公司、網(wǎng)站收錄、網(wǎng)站策劃、云服務器、ChatGPT

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)