Mekanisme Pemulihan Akses akibat Blocking dari NSX Distributed Firewall

Setidaknya terdapat sejumlah rekomendasi best practice yang perlu diperhatikan terkait implementasi platform virtualisasi jaringan seperti VMware NSX pada suatu datacenter. Pada use case penerapan micro-segmentation misalnya, pastikan konfigurasi NSX telah memuat Exclusion List yang mencakup sejumlah VM management (seperti vCenter Server, SRM Server, dan lain sebagainya). Tanpa hal ini, tentunya penerapan Distributed Firewall (DFW) dari NSX dapat memberikan dampak negatif misalnya security module tersebut akan secara otomatis melakukan pemblokiran akses terhadap management VM seperti vCenter Server ketika ‘Deny All’ rule diaplikasikan.

Untuk menghindari kemungkinan tersebut, perlu dipastikan kembali jika sejumlah objek VM management vital tersebut telah dimasukkan kedalam Exclusion List didalam NSX Manager. Penambahan Exclusion List pada VMware NSX sendiri dapat dilakukan via vSphere Web Client melalui Home | Network & Security | NSX Managers.

nsx-recov-01b

Selanjutnya, klik pada salah satu objek NSX Manager yang dikehendaki dan klik pada tab Manage.

nsx-recov-02a

Pada bagian Exclusion List, klik tanda plus yang tersedia.

nsx-recov-03a

Berikutnya, pilih pada sejumlah objek VM yang dimaksud didalam window Virtual Machine selector.

nsx-recov-04a

 

Pemulihan Akses

Meski demikian, bisa saja kita mendapati kondisi dimana penerapan DFW dari NSX yang kurang cermat sehingga mengakibatkan terblokirnya akses terhadap sejumlah VM management (sebelum konfigurasi Exclusion List dilakukan). Untuk kondisi demikian, mekanisme pemulihan yang dapat dilakukan adalah dengan mengembalikan aturan atau ruleset dari DFW menuju kondisi default melalui penggunaan panggilan terhadap metode DELETE dari REST API yang terdapat pada NSX Manager.

Untuk melakukan hal ini, silahkan gunakan REST client (misalnya addon RESTClient yang tersedia pada Mozilla Firefox). Selanjutnya, masukkan informasi URL dengan ketentuan berikut.

https://NSX_Manager_IP_or_FQDN/api/4.0/firewall/globalroot-0/config

Sementara pada bagian Method, pilih opsi DELETE yang tersedia. Jangan lupa untuk terlebih dahulu memastikan otentikasi session tersebut dengan memasukkan informasi credential dari NSX Administrator. Untuk memastikannya, klik pada menu Authentication (masih dari RESTClient) dan pilih pada opsi Basic Authentication.

 

nsx-recov-07a

Pada login form Basic Authentication yang muncul kemudian, masukkan  informasi username dan password dari NSX Administrator terkait.

nsx-recov-08a

Setelah memastikan semua input tersebut telah sesuai, klik pada tombol SEND dari addon RESTClient yang digunakan.

nsx-recov-09a

Jika status code yang muncul beberapa saat kemudian menunjukkan angka 204 dibagian Response, maka dapat disimpulkan bahwa security rule yang terdapat pada DFW dari NSX telah kembali dalam kondisi default policy.

nsx-recov-10a

Perlu diketahui bahwa hal ini juga berarti sejumlah security rule yang telah dibuat sebelumnya menjadi hilang.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.