Má fhéachann tú ar chumraíocht aon bhalla dóiteáin, ansin is dóichí go bhfeicfimid bileog le bunch de sheoltaí IP, calafoirt, prótacail agus folíonta. Seo mar a chuirtear i bhfeidhm go clasaiceach beartais slándála líonra maidir le rochtain úsáideoirí ar acmhainní. Ar dtús déanann siad iarracht ord a choinneáil sa chumraíocht, ach ansin tosaíonn fostaithe ag bogadh ó roinn go roinn, déanann freastalaithe a róil a iolrú agus a athrú, is cosúil go bhfuil rochtain ar thionscadail éagsúla nuair nach gceadaítear iad de ghnáth, agus tagann na céadta cosán gabhar anaithnid chun cinn.
In aice le roinnt rialacha, má tá an t-ádh ort, tá tuairimí ann “D’iarr Vasya orm é seo a dhéanamh” nó “Is sliocht é seo chuig an DMZ.” Scoir an riarthóir líonra, agus éiríonn gach rud go hiomlán doiléir. Ansin chinn duine éigin cumraíocht Vasya a ghlanadh, agus bhuail SAP crash, mar d'iarr Vasya an rochtain seo uair amháin chun an SAP comhraic a rith.
Sa lá atá inniu beidh mé ag caint faoi réiteach VMware NSX, rud a chabhraíonn le beartais chumarsáide líonra agus slándála a chur i bhfeidhm go beacht gan mearbhall i configs balla dóiteáin. Taispeánfaidh mé duit cad iad na gnéithe nua atá le feiceáil i gcomparáid leis na rudaí a bhí ag VMware roimhe seo sa chuid seo.
Is ardán fíorúilithe agus slándála é VMWare NSX le haghaidh seirbhísí líonra. Réitíonn NSX fadhbanna a bhaineann le ródú, lascadh, cothromú ualach, balla dóiteáin agus is féidir leis go leor rudaí suimiúla eile a dhéanamh.
Tagann NSX i gcomharbacht ar tháirge VCloud Networking and Security (vCNS) VMware féin agus an NVP a ceannaíodh Nicira.
Ó vCNS go NSX
Roimhe seo, bhí meaisín fíorúil vCNS vShield Edge ar leithligh ag cliant i scamall a tógadh ar VMware vCloud. D'fheidhmigh sé mar gheata teorann, áit a raibh sé indéanta go leor feidhmeanna líonra a chumrú: NAT, DHCP, Balla Dóiteáin, VPN, cothromaíocht ualaigh, etc. Balla Dóiteáin agus NAT. Laistigh den líonra, rinne meaisíní fíorúla cumarsáid lena chéile faoi shaoirse laistigh de subnets. Más mian leat trácht a roinnt agus a shárú, is féidir leat líonra ar leith a dhéanamh le haghaidh codanna aonair d'iarratais (meaisíní fíorúla éagsúla) agus na rialacha cuí a leagan síos dá n-idirghníomhaíocht líonra sa bhalla dóiteáin. Ach tá sé seo fada, deacair agus uninteresting, go háirithe nuair a tá tú roinnt dosaen meaisíní fíorúil.
In NSX, chuir VMware coincheap na micridheighilte i bhfeidhm ag baint úsáide as balla dóiteáin dáilte a tógadh isteach san eithne hypervisor. Sonraíonn sé beartais slándála agus idirghníomhaíochta líonra ní hamháin le haghaidh seoltaí IP agus MAC, ach freisin le haghaidh rudaí eile: meaisíní fíorúla, feidhmchláir. Má imscartar NSX laistigh d'eagraíocht, is féidir leis na cuspóirí seo a bheith ina n-úsáideoir nó ina ngrúpa úsáideoirí ón Eolaire Gníomhach. Iompaíonn gach réad den sórt sin ina mhicreatheagrán ina lúb slándála féin, sa subnet riachtanach, lena DMZ cluthar féin :).
Roimhe seo, ní raibh ach imlíne slándála amháin ann don linn iomlán acmhainní, arna chosaint ag lasc imeall, ach le NSX is féidir leat meaisín fíorúil ar leith a chosaint ó idirghníomhaíochtaí gan ghá, fiú laistigh den líonra céanna.
Déanann beartais slándála agus líonraithe oiriúnú má bhogann eintiteas chuig líonra eile. Mar shampla, má bhogaimid meaisín le bunachar sonraí go dtí deighleog líonra eile nó fiú go dtí lárionad sonraí fíorúla ceangailte eile, ansin beidh feidhm ag na rialacha atá scríofa don mheaisín fíorúil seo beag beann ar a shuíomh nua. Beidh an freastalaí feidhmchlár fós in ann cumarsáid a dhéanamh leis an mbunachar sonraí.
Tá an geata imeall féin, vCNS vShield Edge, curtha in ionad NSX Edge. Tá na gnéithe gentlemanly go léir den Imeall d'aois, chomh maith le roinnt gnéithe úsáideacha nua. Labhróimid níos faide fúthu.
Cad atá nua leis an NSX Edge?
Braitheann feidhmiúlacht NSX Edge ar
Balla Dóiteáin. Is féidir leat seoltaí IP, líonraí, comhéadain gheata, agus meaisíní fíorúla a roghnú mar rudaí a gcuirfear na rialacha i bhfeidhm orthu.
DHCP. Chomh maith leis an raon seoltaí IP a eiseofar go huathoibríoch chuig meaisíní fíorúla ar an líonra seo a chumrú, tá na feidhmeanna seo a leanas ag NSX Edge anois: Ceangailteacha и sealaíochta.
Sa chluaisín Ceangail Is féidir leat seoladh MAC meaisín fíorúil a cheangal le seoladh IP más gá duit gan an seoladh IP a athrú. Is é an rud is mó ná nach bhfuil an seoladh IP seo san áireamh sa Linn DHCP.
Sa chluaisín sealaíochta tá sealaíocht teachtaireachtaí DHCP cumraithe do fhreastalaithe DHCP atá suite lasmuigh de d'eagraíocht in vCloud Director, lena n-áirítear freastalaithe DHCP an bhonneagair fhisiciúil.
Ródú. Ní fhéadfadh vShield Edge ach ródú statach a chumrú. Bhí ródú dinimiciúil le tacaíocht do phrótacail OSPF agus BGP le feiceáil anseo. Tá socruithe ECMP (Gníomhach-Gníomhach) ar fáil freisin, rud a chiallaíonn teip ar ródairí fisiceacha agus gníomhacha.
Socrú OSPF
Socrú BGP
Rud nua eile is ea aistriú bealaí a bhunú idir prótacail éagsúla, i.e.
athdháileadh bealaigh.
Cothromóir Ualach L4/L7. Tugadh X-Forwarded-For isteach don cheanntásc HTTPs. Ghlaodh gach duine gan é. Mar shampla, tá suíomh gréasáin agat a bhfuil tú ag cothromú. Gan an ceanntásc seo a chur ar aghaidh, oibríonn gach rud, ach i staitisticí an fhreastalaí gréasáin ní fhaca tú IP na gcuairteoirí, ach IP an chothromóra. Anois tá gach rud ceart.
Chomh maith leis sin sa chluaisín Rialacha Feidhmchláir is féidir leat anois scripteanna a chur leis a rialóidh cothromaíocht tráchta go díreach.
vpn. Chomh maith le IPSec VPN, tacaíonn NSX Edge le:
- L2 VPN, a ligeann duit líonraí a shíneadh idir láithreáin atá scaipthe go geografach. Tá gá le VPN den sórt sin, mar shampla, ionas go bhfanann an meaisín fíorúil san fho-líon céanna agus a sheoladh IP nuair a bhogann sé go suíomh eile.
- SSL VPN Plus, a ligeann d'úsáideoirí ceangal go cianda le líonra corparáideach. Ag leibhéal vSphere bhí feidhm den sórt sin, ach do Stiúrthóir vCloud is nuálaíocht é seo.
Deimhnithe SSL. Is féidir teastais a shuiteáil anois ar an NSX Edge. Tagann sé seo arís leis an gceist maidir le cé na daoine a raibh cothromaíocht ag teastáil uathu gan teastas do https.
Cuspóirí a Ghrúpáil. Sa chluaisín seo, sonraítear grúpaí réad a mbeidh feidhm ag rialacha áirithe idirghníomhaíochta líonra ina leith, mar shampla, rialacha balla dóiteáin.
Is féidir seoltaí IP agus MAC a bheith sna réada seo.
Tá liosta seirbhísí ann freisin (teaglaim prótacal-port) agus feidhmchlár ar féidir a úsáid agus rialacha balla dóiteáin á gcruthú. Ní féidir ach le riarthóir tairsí vCD seirbhísí agus feidhmchláir nua a chur leis.
Staitisticí. Staitisticí ceangail: trácht a théann tríd an geata, balla dóiteáin agus cothromóir.
Stádas agus staitisticí do gach tollán IPSEC VPN agus L2 VPN.
Logáil. Sa chluaisín Socruithe Imeall, is féidir leat an freastalaí a shocrú le haghaidh logaí a thaifeadadh. Oibríonn logáil do DNAT/SNAT, DHCP, Balla Dóiteáin, ródú, cothromóir, IPsec VPN, SSL VPN Plus.
Tá na cineálacha foláirimh seo a leanas ar fáil do gach oibiacht/seirbhís:
—Deasbug
—Aireach
-Criticiúil
- Earráid
— Rabhadh
- Fógra
— Eolas
Toisí Imeall NSX
Ag brath ar na tascanna atá á réiteach agus ar an méid VMware
Imeall NSX
(Dlúth)
Imeall NSX
(mór)
Imeall NSX
(Cead Mór)
Imeall NSX
(X- Mór)
vCPU
1
2
4
6
cuimhne
512MB
1GB
1GB
8GB
Diosca
512MB
512MB
512MB
4.5GB + 4GB
Ceapachán
Aon
iarratas, tástáil
Lárionad sonraí
Beaga
nó meán
Lárionad sonraí
Luchtaithe
balla dóiteáin
Cothromú
Íosluchtaigh ag leibhéal L7
Anseo thíos sa tábla tá méadracht oibriúcháin na seirbhísí líonra ag brath ar mhéid NSX Edge.
Imeall NSX
(Dlúth)
Imeall NSX
(mór)
Imeall NSX
(Cead Mór)
Imeall NSX
(X- Mór)
comhéadain
10
10
10
10
Fo-Chomhéadain (Urn)
200
200
200
200
Rialacha NAT
2,048
4,096
4,096
8,192
Iontrálacha ARP
Go dtí Forscríobh
1,024
2,048
2,048
2,048
Rialacha FW
2000
2000
2000
2000
Feidhmíocht FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Linnte DHCP
20,000
20,000
20,000
20,000
Cosáin ECMP
8
8
8
8
Bealaí Statacha
2,048
2,048
2,048
2,048
Linnte LB
64
64
64
1,024
LB Freastalaithe Fíorúla
64
64
64
1,024
Freastalaí / Linn Snámha LB
32
32
32
32
Seiceálacha Sláinte LB
320
320
320
3,072
Rialacha Iarratais LB
4,096
4,096
4,096
4,096
Mol Cliant L2VPN le Labhairt
5
5
5
5
Líonraí L2VPN in aghaidh an Chliaint/Freastalaí
200
200
200
200
Tolláin IPSec
512
1,600
4,096
6,000
Tolláin SSLVPN
50
100
100
1,000
Líonraí Príobháideacha SSLVPN
16
16
16
16
Seisiúin Chomhréireacha
64,000
1,000,000
1,000,000
1,000,000
Seisiúin/Dara
8,000
50,000
50,000
50,000
Tréchur LB L7 Seachfhreastalaí)
2.2Gbps
2.2Gbps
3Gbps
Mód Tréchur LB L4)
6Gbps
6Gbps
6Gbps
Naisc/í LB (Seachfhreastalaí L7)
46,000
50,000
50,000
Naisc Chomhthráthacha LB (Seachfhreastalaí L7)
8,000
60,000
60,000
Naisc/í LB (Mód L4)
50,000
50,000
50,000
Naisc Chomhthráthacha LB (Mód L4)
600,000
1,000,000
1,000,000
Bealaí BGP
20,000
50,000
250,000
250,000
Comharsana BGP
10
20
100
100
Bealaí BGP Athdháilte
Gan Teorainn
Gan Teorainn
Gan Teorainn
Gan Teorainn
Bealaí OSPF
20,000
50,000
100,000
100,000
Iontrálacha LSA OSPF Uasmhéid 750 Cineál-1
20,000
50,000
100,000
100,000
Tadhlaigh OSPF
10
20
40
40
Bealaí OSPF Athdháilte
2000
5000
20,000
20,000
Bealaí Iomlán
20,000
50,000
250,000
250,000
→
Léiríonn an tábla go moltar cothromaíocht a eagrú ar NSX Edge le haghaidh cásanna táirgiúla ach ag tosú ón méid Mór.
Sin go léir atá agam don lá inniu. Sna codanna seo a leanas rachaidh mé go mion ar conas gach seirbhís líonra NSX Edge a chumrú.
Foinse: will.com