пока разаботчики на проде сесурити не получится как раз из-за того что ты пишешь типа "ой порты прокидывать"

тот же куб возьми - решение из коробки предполагает что наружу торчит ток балансировщик, а внутри все крутится без доступа друг к другу прямого - это текущий концепт

для продвинутых - виртуализация сети+распределенный файрволл - я опенсорс решений не видел вообще живых

путь граблей и палок, я понял
жесть, конечно.
будем ждать решения индустрии, ну или своё курить.

для кубера - худо-бедно понятно как эту задачу решать - есть кластер - внутри него делай что хочешь.
ну или egress наворачивай.

а что в более простых средах делать?
пока я вижу только вариант - отключать все настройщики файрволов и работать через ansible.
вариант старый, понятный, но 2019 год же!

в двух словах для более простых сред я сейчас очень простоое решение сделал:
файрволлом в принципе запрещено все что не разрешено. Со всех хостов разрешено только:
1) порт для мониторинга для определенных серверов - ну типа пром, причем стоит реверс прокси для всех экспортеров на хосте за 1 портом.
2) отправка логов на определенные серверы
3) доступен балансировщик - балансировщики разные типа уровня кластера, уровня дц, глобальные.
Все взаимодействие с реальностью через балансировщик и сервисы доступные через него, а там уже waf и прочее.
Естесвенно есть исключения типа сервисы которым надо напрямую общаться друг с другом аля кластер зукипера ну это в общем то 1 строчка в конфиге scm кого куда пустить.

А так вообще надо ставить эксперименты с тем же calico - там можно сделать микросегментацию, провайдеры поддерживаются практически все существующие - хочешь куб, хочешь просто докер и тд

опять же если за микросегментацию говорить - для nsx vmware реально нужен отдельный человек или очень зарыться в это - я вот ща ковыряю.
в нутаниксе можно пустить и разработчиков рулить, там что веб что через апи вообще все просто рулиться. сложно сломать или сделать что то не так и тд, а так даже непонятно из чего выбирать - в тот же tungsten(ранее opencontrail) лезть страшно даже

ну, а так еще в докере есть оверлейные сети, но это опять же "просто" управляется только через swarm и docker compose v3

предлагаю убрать из обсуждения слова докер и кубернетес.
я именно про прочие сервисы.

я не хочу обсуждать калико, т.к. мы сваливаемся к кластеру кубера, а там всё понятно.

вот у нас есть
- Сервис 1 - 5 ВМ (некоторое количество внутренних сервисов)
- Сервис 2 - еще 5 ВМ (некоторое количество внутренних сервисов)

- Сервис 1 должен иметь доступ к сервису 2.
- У Сервиса 1 есть некоторое количество публичных портов.

Есть пользователи:
- Юзеры А - доступ доступ только к сервису SA
- Юзеры B - доступ только к сервису SB
- Юзеры C - ко всем сервисам на заданных IP


Пока я не вижу другого способа, кроме как заскриптовать такое на обычном iptables.

нужен инстурментарий для того что бы делать оверлейные сети из того что я знаю, что можно сделать и чему можно доверять это calico и openctorail

зачем мне оверлей, если у меня vlan есть в котором никого, кроме меня нет ?

тогда тебе и файр не нужен при такой постановке вопроса

нужен же.

ты сам говоришь что хочешь что то типа
Namespace isolation and per-microservice microsegmentation with choice of TF tenants, networks or security rules
два решения выше это умеют

но это реально sdn со всеми вытекающими

да, вот только я хочу сделать это без кубернетисов.

в общем, предлагаю завершить дискуссию на этом - мне мало интересны оверлеи - я хочу обычные виртуалки, но безопасные.

вопрос в том - как лучше описать доступ к разным сервисам.
суть вопроса тут: https://t.me/devsecops_ru/3798 и тут https://t.me/devsecops_ru/3827

обычные безопасные виртуалки - vmare nsx

nsx и что ?
как