Netzwerksicherheit
VLAN-Klassen und Gateway-Firewall
Frontend-Netzwerk
Knoten, die Dienste für die Allgemeinheit anbieten, haben eine oder mehrere IPv4/IPv6-Adressen in diesem Netz.
Der Traffic zu Adressen in diesem Netz wird von der Gateway-Firewall ohne Einschränkungen weitergeleitet.
Kund:innen sollten nur Dienste an die IP-Adressen binden, die für den Zugriff aus dem Internet vorgesehen sind. Backend-Dienste sollten an das Server-Netzwerk gebunden werden.
Server-Netzwerk
Alle Knoten haben eine Adresse im Servernetz. Diese wird von Anwendungen für die interne Kommunikation verwendet, z.B. von Anwendungsservern, die mit eurer Datenbank kommunizieren.
Die Rechner im Servernetz verwenden in der Regel private IPv4-Adressen und öffentliche IPv6-Adressen. Ausgehender Datenverkehr ist in der Regel erlaubt und wird bei Bedarf auf der Gateway-Firewall maskiert. Benötigt ein Rechner einen unmaskierten Zugang zum Internet, muss eine IP-Adresse im Frontend-Netzwerk bereitgestellt werden.
Der meiste eingehende Traffic wird auf der Gateway-Firewall blockiert, mit Ausnahme u.a. von Port 22 für tcp (ssh).
Speichernetzwerk
Dieses Netzwerk wird für den Speicher-Traffic genutzt. Es ist nur für Ring 0-Maschinen zugänglich, nicht aber für kundeneigene Geräte oder virtuelle Maschinen. Kundeneigene Umgebungen implementieren separate Speichernetzwerke.
Dieses Netzwerk verwendet private IPv4-Adressen, die nicht über das Internet geroutet werden. Daten-Traffic von außerhalb dieses Netzes ist nicht zulässig.
Management-Netzwerk
Dieses Netz wird nur für Management-Zwecke verwendet: Zugang zum Intelligent Platform Management Interface (IPMI), Switch-Konsolen, Betriebssystemen usw.
Es verwendet private IPv4-Adressen, die nicht über das Internet geroutet werden. Daten-Traffic von außerhalb dieses Netzes ist nicht zulässig.
Underlay-Netzwerk
Dieses Netzwerk wird verwendet, um eine redundante, dynamische BGP/Ethernet VPN/VXLAN Umgebung zu implementieren, um alle anderen Netzwerke nach Bedarf zu den physischen Maschinen zu transportieren.
Es verwendet ein privates IPv4-Netzwerk und lokale IPv6-Link-Adressen. Das Underlay-Netzwerk ist nur für Ring 0-Maschinen zugänglich, nicht aber für virtuelle Maschinen.
VM-Firewall
Auf jeder VM läuft eine zusätzliche lokale Firewall mit iptables, die standardmäßig
- den gesamten Daten-Traffic zu den Frontend-IPs blockieren, es sei denn, er wird explizit von einem konfigurierten Dienst geöffnet, und
- blockiert den gesamten Daten-Traffic zu den Server-zu-Server-IPs, außer für VMs aus demselben Projekt.