የማንኛውም ፋየርዎል አወቃቀሩን ከተመለከቱ ምናልባት ብዙ የአይፒ አድራሻዎች ፣ ወደቦች ፣ ፕሮቶኮሎች እና ንዑስ አውታረ መረቦች ያሉት ሉህ እናያለን። የአውታረ መረብ ደህንነት ፖሊሲዎች ለተጠቃሚዎች ሃብቶች ተደራሽነት የሚተገበሩት በዚህ መንገድ ነው። በመጀመሪያ አወቃቀሩን ለመጠበቅ ይሞክራሉ, ነገር ግን ሰራተኞች ከመምሪያው ወደ ክፍል መሄድ ይጀምራሉ, አገልጋዮች ይባዛሉ እና ሚናቸውን ይቀይራሉ, ለተለያዩ ፕሮጄክቶች ተደራሽነት ብዙውን ጊዜ የማይፈቀድላቸው እና በመቶዎች የሚቆጠሩ የማይታወቁ የፍየል መንገዶች ይወጣሉ.
ከአንዳንድ ሕጎች ቀጥሎ፣ እድለኛ ከሆንክ፣ “Vasya ይህን እንዳደርግ ጠየቀችኝ” ወይም “ይህ ወደ DMZ የሚወስደው ምንባብ ነው” የሚል አስተያየቶች አሉ። የአውታረ መረብ አስተዳዳሪው ያቆማል, እና ሁሉም ነገር ሙሉ በሙሉ ግልጽ አይሆንም. ከዚያም አንድ ሰው Vasya's ውቅረትን ለማጽዳት ወሰነ, እና SAP ተበላሽቷል, ምክንያቱም Vasya አንድ ጊዜ የውጊያ SAP ን ለማስኬድ ይህን መዳረሻ ጠይቋል.
ዛሬ ስለ VMware NSX መፍትሄ እናገራለሁ, ይህም የኔትወርክ ግንኙነትን እና የደህንነት ፖሊሲዎችን በፋየርዎል አወቃቀሮች ውስጥ ያለ ግራ መጋባት በትክክል ለመተግበር ይረዳል. ከዚህ ቀደም VMware በዚህ ክፍል ውስጥ ከነበረው ጋር ሲነጻጸር ምን አዲስ ባህሪያት እንደታዩ አሳያችኋለሁ።
VMWare NSX ለአውታረ መረብ አገልግሎቶች የምናባዊ እና የደህንነት መድረክ ነው። NSX የማዞሪያ፣ የመቀያየር፣ የመጫኛ ማመጣጠን፣ ፋየርዎል ችግሮችን ይፈታል እና ሌሎች ብዙ አስደሳች ነገሮችን ያደርጋል።
NSX የቪኤምዌር የራሱ vCloud Networking and Security (vCNS) ምርት እና የተገኘው Nicira NVP ተተኪ ነው።
ከvCNS ወደ NSX
ከዚህ ቀደም አንድ ደንበኛ በVMware vCloud ላይ በተሰራ ደመና ውስጥ የተለየ vCNS vShield Edge ምናባዊ ማሽን ነበረው። ብዙ የአውታረ መረብ ተግባራትን ማዋቀር የሚቻልበት የድንበር መግቢያ በር ሆኖ አገልግሏል፡ NAT፣ DHCP፣ Firewall፣ VPN፣ load balancer ወዘተ vShield Edge የቨርቹዋል ማሽኑን ከውጪው አለም ጋር ያለውን መስተጋብር ገድቧል። ፋየርዎል እና NAT. በአውታረ መረቡ ውስጥ፣ ቨርቹዋል ማሽኖች በንዑስ መረቦች ውስጥ በነፃነት ይነጋገሩ ነበር። ትራፊክን ለመከፋፈል እና ለማሸነፍ በእውነት ከፈለጉ ለግል የአፕሊኬሽኖች ክፍሎች (የተለያዩ ምናባዊ ማሽኖች) የተለየ አውታረ መረብ መፍጠር እና በፋየርዎል ውስጥ ለእነሱ የአውታረ መረብ መስተጋብር ተገቢውን ህጎች ማዘጋጀት ይችላሉ። ግን ይህ ረጅም ፣ አስቸጋሪ እና የማይስብ ነው ፣ በተለይም ብዙ ደርዘን ምናባዊ ማሽኖች ሲኖሩዎት።
በ NSX ውስጥ፣ VMware በሃይፐርቪዘር ከርነል ውስጥ የተሰራ የተከፋፈለ ፋየርዎልን በመጠቀም የማይክሮ ክፍልፋይ ጽንሰ-ሀሳብን ተግባራዊ አድርጓል። የደህንነት እና የአውታረ መረብ መስተጋብር ፖሊሲዎችን ለአይፒ እና ማክ አድራሻዎች ብቻ ሳይሆን ለሌሎች ነገሮችም ይገልጻል-ቨርቹዋል ማሽኖች፣ አፕሊኬሽኖች። NSX በድርጅት ውስጥ ከተሰማራ እነዚህ ነገሮች ከገባሪ ዳይሬክተሩ ተጠቃሚ ወይም የተጠቃሚዎች ቡድን ሊሆኑ ይችላሉ። እያንዳንዱ እንደዚህ ያለ ነገር በራሱ የደኅንነት ዑደት ውስጥ፣ በሚፈለገው ንዑስ መረብ ውስጥ፣ የራሱ ምቹ የሆነ DMZ :) ወደ ማይክሮ ሴክሽን ይቀየራል።
ከዚህ ቀደም ለጠቅላላው የሀብት ገንዳ አንድ የደህንነት ፔሪሜትር ብቻ ነበር፣ በጠርዝ መቀየሪያ የተጠበቀ፣ ነገር ግን በ NSX የተለየ ቨርቹዋል ማሽንን ከአላስፈላጊ ግንኙነቶች መጠበቅ ይችላሉ፣ በተመሳሳይ አውታረ መረብ ውስጥም ቢሆን።
አንድ አካል ወደ ሌላ አውታረ መረብ ከተዘዋወረ የደህንነት እና የአውታረ መረብ ፖሊሲዎች ይጣጣማሉ። ለምሳሌ አንድ ማሽን በመረጃ ቋት ወደ ሌላ የአውታረ መረብ ክፍል ወይም ወደ ሌላ የተገናኘ ቨርቹዋል ዳታ ማእከል ብናንቀሳቅስ ለዚህ ቨርቹዋል ማሽን የተፃፉት ህጎች አዲሱ ቦታ ምንም ይሁን ምን ተግባራዊ ይሆናሉ። የመተግበሪያው አገልጋይ አሁንም ከመረጃ ቋቱ ጋር መገናኘት ይችላል።
የጠርዝ መግቢያ በር ራሱ፣ vCNS vShield Edge፣ በNSX Edge ተተክቷል። እሱ የድሮው ጠርዝ ሁሉንም የጨዋነት ባህሪያት እና ጥቂት አዳዲስ ጠቃሚ ባህሪያት አሉት። ስለእነሱ የበለጠ እንነጋገራለን.
በNSX Edge ምን አዲስ ነገር አለ?
የ NSX Edge ተግባር በዚህ ላይ የተመሰረተ ነው NSX ከእነዚህ ውስጥ አምስቱ ናቸው፡ መደበኛ፣ ፕሮፌሽናል፣ ከፍተኛ፣ ኢንተርፕራይዝ፣ ፕላስ የርቀት ቅርንጫፍ ቢሮ። አዲስ እና አስደሳች ነገር ሁሉ በላቁ ሲጀምር ብቻ ነው የሚታየው። አዲስ በይነገጽን ጨምሮ፣ vCloud ሙሉ በሙሉ ወደ HTML5 እስኪቀየር ድረስ (VMware በጋ 2019) በአዲስ ትር ውስጥ ይከፈታል።
ፋየርዎል ህጎቹ የሚተገበሩባቸው የአይፒ አድራሻዎችን፣ ኔትወርኮችን፣ ጌትዌይ በይነገሮችን እና ምናባዊ ማሽኖችን መምረጥ ይችላሉ።
DHCP። በዚህ አውታረ መረብ ላይ ላሉ ቨርቹዋል ማሽኖች በራስ ሰር የሚለቀቁትን የአይፒ አድራሻዎች ክልል ከማዋቀር በተጨማሪ NSX Edge አሁን የሚከተሉት ተግባራት አሉት። በህጋዊ ስምምነት и ቅብብል.
በትሩ ውስጥ ማሰሪያዎች አይፒ አድራሻው እንዳይቀየር ከፈለጉ የቨርቹዋል ማሽንን MAC አድራሻ ከአይፒ አድራሻ ጋር ማሰር ይችላሉ። ዋናው ነገር ይህ አይ ፒ አድራሻ በ DHCP ፑል ውስጥ አልተካተተም.
በትሩ ውስጥ ቅብብል የDHCP መልዕክቶችን ማስተላለፍ ከድርጅትዎ ውጪ በvCloud ዳይሬክተር ውስጥ ላሉ የDHCP አገልጋዮች ተዋቅሯል፣የአካላዊ መሠረተ ልማት DHCP አገልጋዮችን ጨምሮ።
ማዘዋወር። vShield Edge የማይንቀሳቀስ ራውቲንግን ብቻ ማዋቀር ይችላል። ለOSPF እና BGP ፕሮቶኮሎች ድጋፍ ያለው ተለዋዋጭ መስመር እዚህ ታየ። የ ECMP (አክቲቭ-አክቲቭ) ቅንጅቶች እንዲሁ ተዘጋጅተዋል፣ ይህ ማለት ለአካላዊ ራውተሮች ንቁ-ንቁ አለመሳካት ማለት ነው።
OSPF በማዋቀር ላይ
BGP በማዋቀር ላይ
ሌላ አዲስ ነገር በተለያዩ ፕሮቶኮሎች መካከል የመንገዶችን ማስተላለፍ ማቀናበር ነው ፣
የመንገድ መልሶ ማከፋፈያ.
L4/L7 የመጫኛ ሚዛን. X-Forwarded-For ለ HTTPs ራስጌ ቀርቧል። ያለ እሱ ሁሉም አለቀሱ። ለምሳሌ፣ ሚዛኑን የጠበቁበት ድህረ ገጽ አለዎት። ይህንን ራስጌ ሳያስተላልፍ ሁሉም ነገር ይሰራል ነገር ግን በድር አገልጋይ ስታቲስቲክስ ውስጥ የጎብኝዎችን አይ ፒ አይተዋል, ነገር ግን የተመጣጠነ አይ ፒ. አሁን ሁሉም ነገር ትክክል ነው።
እንዲሁም በመተግበሪያ ደንቦች ትሩ ውስጥ አሁን የትራፊክ ሚዛንን በቀጥታ የሚቆጣጠሩ ስክሪፕቶችን ማከል ይችላሉ።
ቪ.ፒ.ኤን. ከ IPSec VPN በተጨማሪ፣ NSX Edge የሚከተሉትን ይደግፋል፡-
- L2 VPN፣ በጂኦግራፊያዊ ሁኔታ በተበታተኑ ጣቢያዎች መካከል አውታረ መረቦችን ለመዘርጋት የሚያስችልዎ። ለምሳሌ ወደ ሌላ ጣቢያ ሲዘዋወሩ ቨርቹዋል ማሽኑ በተመሳሳይ ሳብኔት ውስጥ እንዲቆይ እና የአይፒ አድራሻውን እንዲይዝ እንደዚህ አይነት ቪፒኤን ያስፈልጋል።
- SSL VPN Plus፣ ተጠቃሚዎች ከድርጅት አውታረ መረብ ጋር በርቀት እንዲገናኙ የሚያስችል ነው። በvSphere ደረጃ እንደዚህ ያለ ተግባር ነበር፣ ግን ለ vCloud ዳይሬክተር ይህ ፈጠራ ነው።
SSL ሰርተፊኬቶች። ሰርተፊኬቶች አሁን በNSX ጠርዝ ላይ ሊጫኑ ይችላሉ። ይህ እንደገና ለ https የምስክር ወረቀት ሳይኖር ሚዛኑን የሚያስፈልገው ማን ነው ወደሚለው ጥያቄ ይመጣል።
ዕቃዎችን መቧደን። በዚህ ትር ውስጥ የተወሰኑ የአውታረ መረብ መስተጋብር ደንቦች ተፈጻሚ የሚሆኑባቸው የነገሮች ቡድኖች ተገልጸዋል፣ ለምሳሌ የፋየርዎል ደንቦች።
እነዚህ ነገሮች አይፒ እና ማክ አድራሻዎች ሊሆኑ ይችላሉ።
በተጨማሪም የፋየርዎል ደንቦችን ሲፈጥሩ ጥቅም ላይ የሚውሉ የአገልግሎቶች ዝርዝር (ፕሮቶኮል-ወደብ ጥምረት) እና አፕሊኬሽኖች አሉ. አዲስ አገልግሎቶችን እና መተግበሪያዎችን ማከል የሚችለው የvCD ፖርታል አስተዳዳሪ ብቻ ነው።
ስታትስቲክስ የግንኙነት ስታቲስቲክስ፡ በመግቢያው በኩል የሚያልፈው ትራፊክ፣ ፋየርዎል እና ባላንስ።
ለእያንዳንዱ IPSEC VPN እና L2 VPN ዋሻ ሁኔታ እና ስታቲስቲክስ።
መግባት በ Edge Settings ትር ውስጥ አገልጋዩን የምዝግብ ማስታወሻዎችን ለመቅዳት ማዋቀር ይችላሉ። ምዝግብ ማስታወሻ ለDNAT/SNAT፣ DHCP፣ Firewall፣ Routing፣ Balancer፣ IPsec VPN፣ SSL VPN Plus ይሰራል።
ለእያንዳንዱ ነገር/አገልግሎት የሚከተሉት አይነት ማንቂያዎች ይገኛሉ፡-
- ማረም
- ማንቂያ
- ወሳኝ
- ስህተት
- ማስጠንቀቂያ
- ማሳሰቢያ
- መረጃ
NSX ጠርዝ ልኬቶች
እየተፈቱ ባሉት ተግባራት እና በ VMware መጠን ላይ በመመስረት NSX Edge በሚከተሉት መጠኖች ይፍጠሩ
NSX ጠርዝ
(ታመቀ)
NSX ጠርዝ
(ትልቅ)
NSX ጠርዝ
(አራት-ትልቅ)
NSX ጠርዝ
(ኤክስ-ትልቅ)
vCPU
1
2
4
6
አእምሮ
512MB
1GB
1GB
8GB
ዲስክ
512MB
512MB
512MB
4.5GB + 4 ጊባ
ቀጠሮ
አንድ
መተግበሪያ, ሙከራ
የውሂብ ማዕከል
ትንሽ
ወይም አማካኝ
የውሂብ ማዕከል
ተጭኗል
ፋየርዎል
ማመጣጠን
ደረጃ L7 ላይ ይጫናል
ከሠንጠረዡ በታች እንደ NSX Edge መጠን የሚወሰን የአውታረ መረብ አገልግሎቶች የአሠራር መለኪያዎች አሉ።
NSX ጠርዝ
(ታመቀ)
NSX ጠርዝ
(ትልቅ)
NSX ጠርዝ
(አራት-ትልቅ)
NSX ጠርዝ
(ኤክስ-ትልቅ)
በይነ
10
10
10
10
ንዑስ በይነገጾች (ግንድ)
200
200
200
200
NAT ደንቦች
2,048
4,096
4,096
8,192
የ ARP ግቤቶች
እስኪፃፍ ድረስ
1,024
2,048
2,048
2,048
FW ደንቦች
2000
2000
2000
2000
የFW አፈጻጸም
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP ገንዳዎች
20,000
20,000
20,000
20,000
የ ECMP መንገዶች
8
8
8
8
የማይንቀሳቀሱ መንገዶች
2,048
2,048
2,048
2,048
LB ገንዳዎች
64
64
64
1,024
LB ምናባዊ አገልጋዮች
64
64
64
1,024
LB አገልጋይ / ገንዳ
32
32
32
32
LB የጤና ምርመራዎች
320
320
320
3,072
LB የመተግበሪያ ደንቦች
4,096
4,096
4,096
4,096
የሚነገር L2VPN የደንበኞች መገናኛ
5
5
5
5
L2VPN አውታረ መረቦች በደንበኛ/በአገልጋይ
200
200
200
200
IPSec ዋሻዎች
512
1,600
4,096
6,000
SSLVPN ዋሻዎች
50
100
100
1,000
SSLVPN የግል አውታረ መረቦች
16
16
16
16
ተመሳሳይ ክፍለ-ጊዜዎች
64,000
1,000,000
1,000,000
1,000,000
ክፍለ-ጊዜዎች/ሁለተኛ
8,000
50,000
50,000
50,000
LB throughput L7 ፕሮክሲ)
2.2Gbps
2.2Gbps
3Gbps
የኤልቢ ማስተላለፊያ L4 ሁነታ)
6Gbps
6Gbps
6Gbps
LB ግንኙነቶች/ዎች (L7 ፕሮክሲ)
46,000
50,000
50,000
LB ተመሳሳይ ግንኙነቶች (L7 ፕሮክሲ)
8,000
60,000
60,000
LB ግንኙነቶች/ዎች (L4 ሁነታ)
50,000
50,000
50,000
LB ተመሳሳይ ግንኙነቶች (L4 ሁነታ)
600,000
1,000,000
1,000,000
BGP መንገዶች
20,000
50,000
250,000
250,000
BGP ጎረቤቶች
10
20
100
100
BGP መንገዶች እንደገና ተሰራጭተዋል።
ምንም ገደብ የለም
ምንም ገደብ የለም
ምንም ገደብ የለም
ምንም ገደብ የለም
የ OSPF መንገዶች
20,000
50,000
100,000
100,000
የOSPF LSA ግቤቶች ከፍተኛ 750 ዓይነት-1
20,000
50,000
100,000
100,000
የOSPF Adjacencies
10
20
40
40
የOSPF መንገዶች እንደገና ተሰራጭተዋል።
2000
5000
20,000
20,000
ጠቅላላ መንገዶች
20,000
50,000
250,000
250,000
→
ሠንጠረዡ እንደሚያሳየው ከትልቅ መጠን ጀምሮ ብቻ ለምርታማ ሁኔታዎች በNSX Edge ላይ ማመጣጠን ማደራጀት ይመከራል።
ለዛሬ ያለኝ ያ ብቻ ነው። በሚቀጥሉት ክፍሎች እያንዳንዱን የ NSX Edge አውታረ መረብ አገልግሎት እንዴት ማዋቀር እንደሚቻል በዝርዝር እመለከታለሁ።
ምንጭ: hab.com