VMware NSX – un sueño hecho realidad.

Me gusta la virtualización, me gustan las redes, cuando he leído sobre NSX ya se que todo tiene sentido!

Por algo el blog tiene cerca de su título “Virtualization & Networking” pero muy pocas veces se ven cosas relacionadas a redes por aquí, me imagino que en lo adelante cuando NSX esté disponible para los mortales como yo, poder escribir más sobre networking. Hace un tiempo (no tanto) que estoy jugando con vCloud e intentado entenderme con VXLAN, en mi lista de tecnologías por probar esta desplegar Cisco Nexus 1000v y tomarle más el piso a vShield (ahora vCloud Networking and Security?).

Con la adquisición de Nicira, VMware demuestra que si está apostando a las redes virtualizadas y así como cambio la forma en que vemos los servidores (los que trabajan con virtualización!) también nos harán cambiar la forma en que vemos las redes de datos.

En la siguiente imagen se puede ver como VMware visualiza las redes virtuales:

Para entender mejor es recomendable leer el artículo publicado en un blog oficial de VMware llamado VMware NSX Network Virtualization.

http://blogs.vmware.com/vmware/2013/03/vmware-nsx-network-virtualization.html

Para mi leer que VMware NSX proporcionara un Gateway que será capaz de realizar tareas como MPLS, VPN y LoadBalancing solo por mencionar unas cuantas me emociona bastante ya que en la actualidad todo esto conlleva un equipo dedicado y hacer ingeniería de tráfico para poder pasar la data por estos equipos.

A estas alturas es recomendable para todo el que trabaje en el área de redes que dedique un poco de tiempo y comience a entender VXLAN, STT y cosas como Open vSwitch (OVS).

Controlar el acceso a SSH en VMware ESXi – OVH Dedicate Server.

Si como yo, tienes un servidor dedicado en OVH (la versión hospedada en Canadá) y este a su vez tiene ESXi (5.0 en mi caso) te has dado cuenta que tiene el puerto SSH abierto, no sería buena idea simplemente detener el servicio de SSH ya que es muy posible que un día lo necesitemos, el problema es que este puerto está en la IP publica y accesible desde todo Internet.

Si la cuenta root no tiene un strong-password (que debería) es mejor deshabilitarla y crearnos otra cuenta más personalizada y con los mismos privilegios de root, pero este post es para dejar en historia una forma sencilla de proteger nuestro acceso SSH.

ESXi firewall to the rescue!

Desde la consola (DCUI), si tienes un servidor con KVM. Lamentablemente estos comandos no se pueden realizar estando conectado via SSH ya que al remover allowed-all inmediatamente nos deja sin conexión.

  1. Hacemos un respaldo de los servicios configurados en el firewall:

# cp /etc/vmware/firewall/service.xml /etc/vmware/firewall/service.xml.bak

  1. Listamos los rulesset ya configurados en ESXi:

esxcli network firewall ruleset list

  1. Cambiamos el estado actual de allowedall to false

esxcli  network firewall ruleset set –ruleset-id sshServer –allowed-all false

  1. Agregamos las redes o IP desde el cual nos estaremos conectando al SSH de ESXi.

esxcli  network firewall ruleset set –ruleset-id sshServer –ip-address 192.168.0.0/24

 

  1. Revisamos que nuestra lista de redes o IP esta correcta.

esxcli network firewall ruleset allowedip list –ruleset-id sshServer

 

Ahora veamos la versión vía vCenter Client que de hecho es mucho más fácil!

Vamos a Configuration -> en Software seleccionamos Security Profile en firewall seleccionamos Properties lo cual nos traerá una ventana con los servicios que actualmente están en el ESXi ya estén habilitados o no.

Seleccionamos:

SSH Server -> Firewall

Cambiamos de “Allow conections from any IP address” a “Only allow connections from the following” networks.

Y listo, hacemos click en OK unas cuantas veces y ya nuestro ESXi tendra un poco más de protección contra esos -dirty scanners- de Internet.

Por ultimo tengo que aclarar que para sacar beneficio de esto debemos de contar con una IP fija ya sea en la casa o en el trabajo, de lo contrario terminaríamos sin poder conectarnos a SSH de nuestro ESXi.

fuente: http://pubs.vmware.com/vsphere-50/index.jsp?topic=%2Fcom.vmware.vcli.examples.doc_50%2Fcli_manage_networks.11.11.html