Ma choimheadas tu air rèiteachadh balla-teine sam bith, is coltaiche gum faic sinn duilleag le dòrlach de sheòlaidhean IP, puirt, protocolaidhean agus subnets. Seo mar a tha poileasaidhean tèarainteachd lìonra airson ruigsinneachd luchd-cleachdaidh air goireasan air an cur an gnìomh gu clasaigeach. An toiseach bidh iad a’ feuchainn ri òrdugh a chumail anns an config, ach an uairsin bidh luchd-obrach a’ tòiseachadh a’ gluasad bho roinn gu roinn, bidh frithealaichean ag iomadachadh agus ag atharrachadh an dreuchdan, tha ruigsinneachd airson diofar phròiseactan a’ nochdadh far nach eil iad ceadaichte mar as trice, agus nochdaidh ceudan de shlighean gobhar neo-aithnichte.
Ri taobh cuid de riaghailtean, ma tha thu fortanach, tha beachdan ann “Dh’ iarr Vasya orm seo a dhèanamh ”no“ Is e seo trannsa chun DMZ. ” Sguir rianaire an lìonraidh, agus bidh a h-uile càil gu tur neo-shoilleir. An uairsin chuir cuideigin romhpa rèiteachadh Vasya a ghlanadh, agus thuit SAP, oir dh ’iarr Vasya aon uair an ruigsinneachd seo gus an sabaid SAP a ruith.
An-diugh bruidhnidh mi mu fhuasgladh VMware NSX, a chuidicheas le bhith a ’cur an gnìomh poileasaidhean conaltraidh lìonra agus tèarainteachd gu mionaideach gun troimh-chèile ann an configs balla-teine. Seallaidh mi dhut dè na feartan ùra a tha air nochdadh an taca ris na bha aig VMware roimhe seo sa phàirt seo.
Tha VMWare NSX na àrd-ùrlar virtualization agus tèarainteachd airson seirbheisean lìonra. Bidh NSX a’ fuasgladh dhuilgheadasan slighe, atharrachadh, cothromachadh luchdan, balla-teine agus is urrainn dha mòran rudan inntinneach eile a dhèanamh.
Tha NSX a’ tighinn às deidh toradh vCloud Networking and Security (vCNS) VMware fhèin agus an Nicira NVP a chaidh fhaighinn.
Bho vCNS gu NSX
Roimhe sin, bha inneal brìgheil vCNS vShield Edge air leth aig neach-dèiligidh ann an sgòth a chaidh a thogail air VMware vCloud. Bha e na gheata crìche, far an robh e comasach iomadh gnìomh lìonra a rèiteachadh: NAT, DHCP, Firewall, VPN, load balancer, msaa. Balla-teine agus NAT. Taobh a-staigh an lìonra, bha innealan brìgheil a’ conaltradh ri chèile gu saor taobh a-staigh subnets. Ma tha thu dha-rìribh ag iarraidh trafaic a sgaradh agus a cheannsachadh, faodaidh tu lìonra air leth a dhèanamh airson pàirtean fa leth de thagraidhean (diofar innealan brìgheil) agus suidhich na riaghailtean iomchaidh airson an eadar-obrachadh lìonra aca sa bhalla-teine. Ach tha seo fada, duilich agus neo-inntinneach, gu sònraichte nuair a tha grunn dhusan inneal brìgheil agad.
Ann an NSX, chuir VMware an gnìomh bun-bheachd meanbh-sgaradh a’ cleachdadh balla-teine sgaoileadh a chaidh a thogail a-steach don kernel hypervisor. Bidh e a’ sònrachadh poileasaidhean tèarainteachd agus eadar-obrachadh lìonra chan ann a-mhàin airson seòlaidhean IP agus MAC, ach cuideachd airson nithean eile: innealan brìgheil, tagraidhean. Ma tha NSX air a chleachdadh taobh a-staigh buidheann, faodaidh na nithean sin a bhith nan neach-cleachdaidh no buidheann de luchd-cleachdaidh bho Active Directory. Bidh gach nì mar sin a’ tionndadh gu bhith na microsegment na lùb tèarainteachd fhèin, anns an subnet a tha a dhìth, leis an DMZ comhfhurtail aige fhèin :).
Roimhe sin, cha robh ann ach aon iomall tèarainteachd airson an cruinneachadh iomlan de ghoireasan, air a dhìon le tionndadh iomall, ach le NSX faodaidh tu inneal brìgheil air leth a dhìon bho eadar-obrachaidhean neo-riatanach, eadhon taobh a-staigh an aon lìonra.
Bidh poileasaidhean tèarainteachd agus lìonraidh ag atharrachadh ma ghluaiseas eintiteas gu lìonra eile. Mar eisimpleir, ma ghluaiseas sinn inneal le stòr-dàta gu roinn lìonra eile no eadhon gu ionad dàta brìgheil ceangailte eile, leanaidh na riaghailtean a chaidh a sgrìobhadh airson an inneal brìgheil seo a’ buntainn ge bith càite a bheil e ùr. Bidh e comasach do fhrithealaiche an tagraidh conaltradh leis an stòr-dàta fhathast.
Chaidh NSX Edge a chuir an àite a’ gheata iomaill fhèin, vCNS vShield Edge. Tha a h-uile feart uasal den t-seann Edge ann, a bharrachd air beagan fheartan feumail ùra. Bruidhnidh sinn mun deidhinn nas fhaide.
Dè a tha ùr leis an NSX Edge?
Tha comas-gnìomh NSX Edge an urra
Balla-teine. Faodaidh tu seòlaidhean IP, lìonraidhean, eadar-aghaidh geata, agus innealan brìgheil a thaghadh mar nithean ris an tèid na riaghailtean a chuir an sàs.
DHCP. A bharrachd air a bhith a’ rèiteachadh an raon de sheòlaidhean IP a thèid a chuir gu fèin-ghluasadach gu innealan brìgheil air an lìonra seo, tha na gnìomhan a leanas aig NSX Edge a-nis: ceangaltach и Relay.
Anns an taba Ceangalaichean Faodaidh tu seòladh MAC inneal brìgheil a cheangal ri seòladh IP ma tha feum agad air an t-seòladh IP gun a bhith ag atharrachadh. Is e am prìomh rud nach eil an seòladh IP seo air a ghabhail a-steach don amar DHCP.
Anns an taba Relay tha sealaidheachd teachdaireachdan DHCP air a rèiteachadh gu frithealaichean DHCP a tha taobh a-muigh na buidhne agad ann an vCloud Director, a’ toirt a-steach frithealaichean DHCP den bhun-structar fiosaigeach.
Ruith. Cha b’ urrainn vShield Edge ach slighe statach a rèiteachadh. Nochd slighe fiùghantach le taic airson protocolaidhean OSPF agus BGP an seo. Tha suidheachaidhean ECMP (Gnìomh-ghnìomhach) rim faighinn cuideachd, a tha a’ ciallachadh fàilligeadh gnìomhach-gnìomh gu routers fiosaigeach.
A 'stèidheachadh OSPF
A 'stèidheachadh BGP
Is e rud ùr eile a bhith a’ stèidheachadh gluasad shlighean eadar diofar phròtacalan,
ath-sgaoileadh slighe.
Cothromaiche luchdan L4/L7. Chaidh X-Forwarded-For a thoirt a-steach airson bann-cinn HTTP. Ghlaodh a h-uile duine às aonais. Mar eisimpleir, tha làrach-lìn agad a tha thu a 'cothromachadh. Gun a bhith a’ cur a’ chinn-cinn seo air adhart, bidh a h-uile càil ag obair, ach ann an staitistig an fhrithealaiche lìn chan fhaca thu IP an luchd-tadhail, ach IP an neach-cothromachaidh. A-nis tha a h-uile dad ceart.
Cuideachd anns an tab Riaghailtean Iarrtais faodaidh tu a-nis sgriobtaichean a chuir ris a chumas smachd dìreach air cothromachadh trafaic.
vpn. A bharrachd air IPSec VPN, tha NSX Edge a’ toirt taic do:
- L2 VPN, a leigeas leat lìonraidhean a shìneadh eadar làraich a tha sgapte air feadh na sgìre. Tha feum air a leithid de VPN, mar eisimpleir, gus nuair a ghluaiseas tu gu làrach eile, gum fuirich an inneal brìgheil san aon subnet agus a chumas an seòladh IP aige.
- SSL VPN Plus, a leigeas le luchd-cleachdaidh ceangal air astar ri lìonra corporra. Aig ìre vSphere bha a leithid de dhleastanas ann, ach airson vCloud Director is e ùr-ghnàthachadh a tha seo.
Teisteanasan SSL. Faodar teisteanasan a chuir a-steach a-nis air an NSX Edge. Tha seo a-rithist a’ tighinn chun cheist cò a dh’ fheumadh cothromaiche gun teisteanas airson https.
A' cruinneachadh Rudan. Anns an taba seo, tha buidhnean de nithean air an sònrachadh airson am bi cuid de riaghailtean eadar-obrachadh lìonraidh an sàs, mar eisimpleir, riaghailtean balla-teine.
Faodaidh na nithean sin a bhith nan seòlaidhean IP agus MAC.
Tha liosta ann cuideachd de sheirbheisean (measgachadh protocol-port) agus tagraidhean a dh'fhaodar a chleachdadh nuair a thathar a' cruthachadh riaghailtean balla-teine. Is e dìreach rianadair portal vCD as urrainn seirbheisean agus tagraidhean ùra a chuir ris.
Staitistig. Staitistig ceangail: trafaic a thèid tron gheata, balla-teine agus cothromachadh.
Inbhe agus staitistig airson gach tunail IPSEC VPN agus L2 VPN.
Logadh. Anns an tab Edge Settings, faodaidh tu am frithealaiche a shuidheachadh airson logaichean a chlàradh. Bidh logadh ag obair airson DNAT / SNAT, DHCP, Firewall, slighe, balancer, IPsec VPN, SSL VPN Plus.
Tha na seòrsaichean rabhaidhean a leanas rim faighinn airson gach nì / seirbheis:
—Deasbug
— An aire
— èiginneach
— Mearachd
— Rabhadh
— Sanas
— Fiosrachadh
Meudan NSX Edge
A rèir nan gnìomhan a thathar a’ fuasgladh agus meud VMware
Iomall NSX
(Compact)
Iomall NSX
(Mòr)
Iomall NSX
(Cead-mòr)
Iomall NSX
(X-mòr)
vCPU
1
2
4
6
memory
512MB
1GB
1GB
8GB
diosg
512MB
512MB
512MB
4.5GB + 4GB
Fastadh
Aon rud
tagradh, deuchainn
ionad dàta
Beag
no cuibheasach
ionad dàta
Air a luchdachadh
balla-teine
Cothromachadh
Luchdaich a-nuas air làrach-lìn L7
Gu h-ìosal sa chlàr tha na meatrach obrachaidh de sheirbheisean lìonraidh a rèir meud NSX Edge.
Iomall NSX
(Compact)
Iomall NSX
(Mòr)
Iomall NSX
(Cead-mòr)
Iomall NSX
(X-mòr)
coluadar
10
10
10
10
Fo-eadar-aghaidh (Trunk)
200
200
200
200
Riaghailtean NAT
2,048
4,096
4,096
8,192
Clàraidhean ARP
Gus an tèid ath-sgrìobhadh
1,024
2,048
2,048
2,048
Riaghailtean FW
2000
2000
2000
2000
Coileanadh FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Amaran DHCP
20,000
20,000
20,000
20,000
Slighean ECMP
8
8
8
8
Slighean Statach
2,048
2,048
2,048
2,048
Amaran LB
64
64
64
1,024
Frithealaichean mas-fhìor LB
64
64
64
1,024
LB frithealaiche / amar
32
32
32
32
Sgrùdaidhean Slàinte LB
320
320
320
3,072
Riaghailtean tagraidh LB
4,096
4,096
4,096
4,096
Ionad teachdaichean L2VPN ri bhruidhinn
5
5
5
5
Lìonraidhean L2VPN gach neach-dèiligidh / frithealaiche
200
200
200
200
Tunailean IPSec
512
1,600
4,096
6,000
Tunailean SSLVPN
50
100
100
1,000
Lìonraidhean prìobhaideach SSLVPN
16
16
16
16
Seiseanan co-shìnte
64,000
1,000,000
1,000,000
1,000,000
Seiseanan/dàrna
8,000
50,000
50,000
50,000
LB Throughput L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
Modh LB Throughput L4)
6Gbps
6Gbps
6Gbps
Ceanglaichean LB (Proxy L7)
46,000
50,000
50,000
Ceanglaichean co-aontach LB (L7 Proxy)
8,000
60,000
60,000
Ceanglaichean LB (modh L4)
50,000
50,000
50,000
Ceanglaichean co-aontach LB (Modh L4)
600,000
1,000,000
1,000,000
Slighean BGP
20,000
50,000
250,000
250,000
Nàbaidhean BGP
10
20
100
100
Slighean BGP air an ath-riarachadh
No Limit
No Limit
No Limit
No Limit
Slighean OSPF
20,000
50,000
100,000
100,000
Inntrigidhean OSPF LSA Max 750 Type-1
20,000
50,000
100,000
100,000
Feartan faisg air làimh OSPF
10
20
40
40
Slighean OSPF air an ath-riarachadh
2000
5000
20,000
20,000
Slighean iomlan
20,000
50,000
250,000
250,000
→
Tha an clàr a 'sealltainn gu bheilear a' moladh cothromachadh a chuir air dòigh air NSX Edge airson suidheachaidhean toraidh a-mhàin a 'tòiseachadh bhon mheud mhòr.
Sin a h-uile rud a th’ agam airson an-diugh. Anns na pàirtean a leanas thèid mi troimhe gu mionaideach mar a rèiticheas tu gach seirbheis lìonra NSX Edge.
Source: www.habr.com