Os edrychwch ar gyfluniad unrhyw wal dân, yna mae'n debyg y byddwn yn gweld dalen gyda llawer o gyfeiriadau IP, porthladdoedd, protocolau ac is-rwydweithiau. Dyma sut mae polisïau diogelwch rhwydwaith yn cael eu gweithredu'n glasurol ar gyfer mynediad defnyddwyr at adnoddau. Ar y dechrau, maent yn ceisio cadw trefn yn y ffurfwedd, ond yna mae gweithwyr yn dechrau symud o adran i adran, mae gweinyddwyr yn lluosi a newid eu rolau, mae mynediad ar gyfer gwahanol brosiectau yn ymddangos lle na allant fel arfer, a cheir cannoedd o lwybrau geifr anhysbys.
Ger rhai rheolau, os ydych chi'n lwcus, mae'r sylwadau "Gofynnais i Vasya ei wneud" neu "Dyma ddarn i'r DMZ" wedi'u hysgrifennu. Mae gweinyddwr y rhwydwaith yn rhoi'r gorau iddi, ac mae popeth yn dod yn gwbl annealladwy. Yna penderfynodd rhywun lanhau ffurfwedd Vasya, a chwalodd SAP, oherwydd gofynnodd Vasya unwaith am y mynediad hwn i weithio gyda SAP ymladd.
Heddiw, byddaf yn siarad am yr ateb VMware NSX, sy'n helpu i bwynt-i-bwynt cymhwyso polisïau cyfathrebu rhwydwaith a diogelwch heb ddryswch mewn ffurfweddiadau wal dân. Byddaf yn dangos i chi pa nodweddion newydd sydd wedi ymddangos o gymharu â'r hyn yr oedd VMware yn arfer ei gael yn y rhan hon.
Mae VMWare NSX yn blatfform rhithwiroli a diogelwch gwasanaethau rhwydwaith. Mae NSX yn datrys problemau llwybro, newid, cydbwyso llwythi, wal dân a llawer o bethau diddorol eraill.
NSX yw olynydd cynnyrch vCloud Networking and Security (vCNS) VMware ei hun ac fe'i caffaelwyd gan Nicira NVP.
O vCNS i NSX
Yn flaenorol, roedd gan gwsmer mewn cwmwl a adeiladwyd ar VMware vCloud beiriant rhithwir vCNS vShield Edge ar wahân. Roedd yn gweithredu fel porth ymyl, lle gallech chi ffurfweddu llawer o swyddogaethau rhwydwaith: NAT, DHCP, Firewall, VPN, cydbwysedd llwyth, ac ati. NAT. Y tu mewn i'r rhwydwaith, roedd peiriannau rhithwir yn cyfathrebu'n rhydd ymhlith ei gilydd o fewn is-rwydweithiau. Os ydych chi wir eisiau rhannu a dominyddu traffig, gallwch chi wneud rhwydwaith ar wahân ar gyfer rhannau unigol o gymwysiadau (peiriannau rhithwir gwahanol) a rhagnodi'r rheolau priodol ar gyfer eu rhyngweithio rhwydwaith yn y wal dân. Ond mae hyn yn hir, yn gymhleth ac yn anniddorol, yn enwedig pan fydd gennych sawl dwsin o beiriannau rhithwir.
Yn NSX, gweithredodd VMware y cysyniad o ficro-segmentu gan ddefnyddio wal dân ddosbarthedig sydd wedi'i chynnwys yn y craidd hypervisor. Mae'n rhagnodi polisïau diogelwch a rhyngweithio rhwydwaith nid yn unig ar gyfer cyfeiriadau IP a MAC, ond hefyd ar gyfer gwrthrychau eraill: peiriannau rhithwir, cymwysiadau. Os yw NSX yn cael ei ddefnyddio o fewn sefydliad, yna gall defnyddiwr neu grŵp o ddefnyddwyr o Active Directory ddod yn wrthrychau o'r fath. Mae pob gwrthrych o'r fath yn troi'n ficrosegment yn ei ddolen ddiogelwch ei hun, yn yr is-rwydwaith cywir, gyda'i DMZ clyd ei hun :).
Yn flaenorol, dim ond un perimedr diogelwch oedd ar gyfer y pwll adnoddau cyfan, fe'i diogelwyd gan switsh ymyl, a chyda NSX, gallwch amddiffyn peiriant rhithwir ar wahân rhag rhyngweithiadau diangen hyd yn oed o fewn yr un rhwydwaith.
Mae polisïau diogelwch a rhwydweithio yn addasu os yw gwrthrych yn symud i rwydwaith gwahanol. Er enghraifft, os byddwn yn symud y peiriant gyda'r gronfa ddata i segment rhwydwaith arall neu hyd yn oed i ganolfan ddata rithwir gysylltiedig arall, yna bydd y rheolau a ragnodir ar gyfer y peiriant rhithwir hwn yn parhau i weithredu waeth beth fo'i leoliad newydd. Bydd gweinydd y rhaglen yn dal i allu cyfathrebu â'r gronfa ddata.
Mae'r vCNS vShield Edge ei hun wedi'i ddisodli gan NSX Edge. Mae ganddo holl bethau boneddigaidd yr hen Edge ynghyd ag ychydig o nodweddion newydd cŵl. Yn eu cylch a bydd yn cael ei drafod ymhellach.
Beth sy'n newydd gyda NSX Edge?
Mae ymarferoldeb NSX Edge yn dibynnu ar NSX. Mae pump ohonyn nhw: Swyddfa Gangen Safonol, Proffesiynol, Uwch, Menter a Mwy. Dim ond dechrau gydag Uwch y gellir gweld popeth newydd a diddorol. Gan gynnwys y rhyngwyneb newydd, sy'n agor mewn tab newydd hyd nes y bydd vCloud yn trosglwyddo'n llwyr i HTML5 (mae VMware yn addo haf 2019).
Mur Tân. Gallwch ddewis cyfeiriadau IP, rhwydweithiau, rhyngwynebau porth, a pheiriannau rhithwir fel gwrthrychau y bydd y rheolau'n berthnasol iddynt.
DHCP. Yn ogystal â ffurfweddu'r ystod o gyfeiriadau IP a fydd yn cael eu dosbarthu'n awtomatig i beiriannau rhithwir ar y rhwydwaith hwn, mae NSX Edge wedi dod yn swyddogaethau sydd ar gael rhwymo и Relay.
Yn y tab Rhwymiadau gallwch chi rwymo cyfeiriad MAC y peiriant rhithwir i'r cyfeiriad IP os ydych chi am i'r cyfeiriad IP beidio â newid. Y prif beth yw nad yw'r cyfeiriad IP hwn wedi'i gynnwys yn y Pwll DHCP.
Yn y tab Relay yn ffurfweddu trosglwyddo negeseuon DHCP i weinyddion DHCP sydd y tu allan i'ch sefydliad yn vCloud Director, gan gynnwys gweinyddwyr DHCP y seilwaith ffisegol.
Llwybro. Dim ond gyda llwybro statig y gellid ffurfweddu vShield Edge. Ymddangosodd llwybro deinamig yma gyda chefnogaeth ar gyfer protocolau OSPF a BGP. Mae gosodiadau ECMP (Active-active) hefyd wedi dod ar gael, sy'n golygu methiant gweithredol-actif i lwybryddion corfforol.
Ffurfweddu OSPF
Ffurfweddu BGP
Peth newydd arall yw sefydlu trosglwyddiad llwybrau rhwng gwahanol brotocolau,
ailddosbarthu llwybrau.
L4/L7 Cydbwysedd llwyth. Wedi cyflwyno X-Forwarded-For ar gyfer pennyn HTTPs. Hebddo ef, roedd pawb yn crio. Er enghraifft, mae gennych wefan yr ydych yn ei mantoli. Heb anfon y pennawd hwn ymlaen, mae popeth yn gweithio, ond yn ystadegau'r gweinydd gwe ni welsoch IP yr ymwelwyr, ond IP y balansiwr. Nawr mae popeth yn iawn.
Hefyd yn y tab Rheolau Cais, gallwch nawr ychwanegu sgriptiau a fydd yn rheoli cydbwyso traffig yn uniongyrchol.
vpn. Yn ogystal ag IPSec VPN, mae NSX Edge yn cefnogi:
- L2 VPN, sy'n eich galluogi i ymestyn rhwydweithiau rhwng safleoedd gwasgaredig yn ddaearyddol. Mae angen VPN o'r fath, er enghraifft, fel bod y peiriant rhithwir yn aros ar yr un isrwyd ac yn cadw ei gyfeiriad IP wrth symud i wefan arall.
- SSL VPN Plus, sy'n caniatáu i ddefnyddwyr gysylltu o bell â rhwydwaith corfforaethol. Roedd swyddogaeth o'r fath ar lefel vSphere, ond ar gyfer Cyfarwyddwr vCloud mae hyn yn fenter arloesol.
Tystysgrifau SSL. Bellach gellir gosod tystysgrifau ar NSX Edge. Mae hyn eto i'r cwestiwn pwy oedd angen cydbwysedd heb dystysgrif ar gyfer https.
Grwpio Gwrthrychau. Mae'r tab hwn yn gosod y grwpiau o wrthrychau y bydd rhai rheolau rhyngweithio rhwydwaith yn berthnasol ar eu cyfer, er enghraifft, rheolau wal dân.
Gall y gwrthrychau hyn fod yn gyfeiriadau IP a MAC.
Mae hefyd yn cynnwys rhestr o wasanaethau (cyfuniad protocol-porthladd) a chymwysiadau y gellir eu defnyddio wrth lunio rheolau wal dân. Dim ond gweinyddwr y porth vCD all ychwanegu gwasanaethau a chymwysiadau newydd.
Ystadegau. Ystadegau cysylltiad: traffig sy'n mynd trwy'r porth, wal dân a chydbwysedd llwyth.
Statws ac ystadegau ar gyfer pob twnnel VPN IPSEC a L2 VPN.
Logio. Yn y tab Gosodiadau Edge, gallwch chi osod y gweinydd ar gyfer recordio logiau. Mae logio yn gweithio ar gyfer DNAT/SNAT, DHCP, Firewall, Llwybro, Balancer, IPsec VPN, SSL VPN Plus.
Mae'r mathau canlynol o rybuddion ar gael ar gyfer pob gwrthrych/gwasanaeth:
- dadfygio
— Rhybudd
—Argyfyngus
- gwall
—Rhybudd
—Hysbysiad
- gwybodaeth
Dimensiynau Edge NSX
Yn dibynnu ar y tasgau i'w datrys a chyfeintiau VMware creu NSX Edge yn y meintiau canlynol:
Ymyl NSX
(Compact)
Ymyl NSX
(Mawr)
Ymyl NSX
(pedwar mawr)
Ymyl NSX
(X-mawr)
vCPU
1
2
4
6
cof
512MB
1GB
1GB
8GB
Disg
512MB
512MB
512MB
4.5GB + 4GB
Penodi
Un
ap, prawf
canolfan ddata
Bach
neu ganolig
canolfan ddata
Wedi'i lwytho
wal dân
Cydbwyso
llwythi ar lefel L7
Mae'r tabl isod yn dangos metrigau perfformiad gwasanaeth rhwydwaith yn seiliedig ar faint yr NSX Edge.
Ymyl NSX
(Compact)
Ymyl NSX
(Mawr)
Ymyl NSX
(pedwar mawr)
Ymyl NSX
(X-mawr)
Rhyngwynebau
10
10
10
10
Is-ryngwynebau (Cefnffordd)
200
200
200
200
Rheolau NAT
2,048
4,096
4,096
8,192
Cofnodion ARP
nes trosysgrifo
1,024
2,048
2,048
2,048
Rheolau FW
2000
2000
2000
2000
Perfformiad F.W
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Pyllau DHCP
20,000
20,000
20,000
20,000
Llwybrau ECMP
8
8
8
8
Llwybrau Statig
2,048
2,048
2,048
2,048
Pyllau LB
64
64
64
1,024
Gweinyddwyr Rhithwir LB
64
64
64
1,024
Gweinydd LB / Pwll
32
32
32
32
Gwiriadau Iechyd LB
320
320
320
3,072
Rheolau Cais LB
4,096
4,096
4,096
4,096
Hyb Cleientiaid L2VPN i Siarad
5
5
5
5
Rhwydweithiau L2VPN fesul Cleient / Gweinydd
200
200
200
200
Twneli IPSec
512
1,600
4,096
6,000
Twneli SSL VPN
50
100
100
1,000
Rhwydweithiau Preifat SSLVPN
16
16
16
16
Sesiynau Cydamserol
64,000
1,000,000
1,000,000
1,000,000
Sesiynau/Ail
8,000
50,000
50,000
50,000
Trwybwn LB L7 Dirprwy)
2.2Gbps
2.2Gbps
3Gbps
Modd Trwybwn LB L4)
6Gbps
6Gbps
6Gbps
Cysylltiad(au) LB (Dirprwy L7)
46,000
50,000
50,000
Cysylltiadau Cydamserol LB (Dirprwy L7)
8,000
60,000
60,000
Cysylltiad/au LB (Modd L4)
50,000
50,000
50,000
Cysylltiadau Cydamserol LB (Modd L4)
600,000
1,000,000
1,000,000
Llwybrau BGP
20,000
50,000
250,000
250,000
Cymdogion BGP
10
20
100
100
Llwybrau BGP wedi'u hailddosbarthu
Dim Terfyn
Dim Terfyn
Dim Terfyn
Dim Terfyn
Llwybrau OSPF
20,000
50,000
100,000
100,000
Cofrestriadau LSA OSPF Uchafswm o 750 Math-1
20,000
50,000
100,000
100,000
Cyffiniau OSPF
10
20
40
40
Llwybrau OSPF wedi'u hailddosbarthu
2000
5000
20,000
20,000
Cyfanswm Llwybrau
20,000
50,000
250,000
250,000
→
Mae'r tabl yn dangos ei fod yn cael ei argymell i drefnu cydbwyso ar NSX Edge ar gyfer senarios cynhyrchiol yn dechrau o'r maint Mawr yn unig.
Am heddiw mae gen i bopeth. Yn y rhannau canlynol, byddaf yn cerdded trwy gyfluniad pob gwasanaeth rhwydwaith NSX Edge yn fanwl.
Ffynhonnell: hab.com