જો તમે કોઈપણ ફાયરવોલની રૂપરેખાને જોશો, તો સંભવતઃ આપણે આઈપી સરનામાંઓ, પોર્ટ્સ, પ્રોટોકોલ્સ અને સબનેટ્સના સમૂહ સાથેની શીટ જોશું. આ રીતે સંસાધનોની વપરાશકર્તા ઍક્સેસ માટેની નેટવર્ક સુરક્ષા નીતિઓ શાસ્ત્રીય રીતે લાગુ કરવામાં આવે છે. શરૂઆતમાં તેઓ રૂપરેખામાં વ્યવસ્થા જાળવવાનો પ્રયાસ કરે છે, પરંતુ પછી કર્મચારીઓ એક વિભાગથી બીજા વિભાગમાં જવાનું શરૂ કરે છે, સર્વર્સ ગુણાકાર કરે છે અને તેમની ભૂમિકામાં ફેરફાર કરે છે, વિવિધ પ્રોજેક્ટ્સ માટે ઍક્સેસ દેખાય છે જ્યાં તેમને સામાન્ય રીતે મંજૂરી આપવામાં આવતી નથી, અને સેંકડો અજાણ્યા બકરી માર્ગો બહાર આવે છે.
કેટલાક નિયમોની બાજુમાં, જો તમે નસીબદાર છો, તો "વાસ્યાએ મને આ કરવા માટે કહ્યું" અથવા "આ DMZ નો માર્ગ છે." નેટવર્ક એડમિનિસ્ટ્રેટર છોડી દે છે, અને બધું સંપૂર્ણપણે અસ્પષ્ટ બની જાય છે. પછી કોઈએ વાસ્યાની રૂપરેખાને સાફ કરવાનું નક્કી કર્યું, અને SAP ક્રેશ થઈ ગયું, કારણ કે વાસ્યાએ એકવાર લડાઇ SAP ચલાવવા માટે આ ઍક્સેસ માટે પૂછ્યું.
આજે હું VMware NSX સોલ્યુશન વિશે વાત કરીશ, જે ફાયરવોલ રૂપરેખાઓમાં મૂંઝવણ વિના નેટવર્ક સંચાર અને સુરક્ષા નીતિઓને ચોક્કસપણે લાગુ કરવામાં મદદ કરે છે. હું તમને બતાવીશ કે આ ભાગમાં અગાઉ જે VMware હતા તેની સરખામણીમાં કઈ નવી સુવિધાઓ દેખાઈ છે.
VMWare NSX એ નેટવર્ક સેવાઓ માટે વર્ચ્યુઅલાઈઝેશન અને સુરક્ષા પ્લેટફોર્મ છે. NSX રૂટીંગ, સ્વિચિંગ, લોડ બેલેન્સિંગ, ફાયરવોલ અને અન્ય ઘણી રસપ્રદ બાબતોની સમસ્યાઓ હલ કરે છે.
NSX એ VMware ના પોતાના vCloud નેટવર્કિંગ એન્ડ સિક્યોરિટી (vCNS) પ્રોડક્ટ અને હસ્તગત નિસિરા NVPનું અનુગામી છે.
vCNS થી NSX સુધી
પહેલાં, ક્લાયન્ટ પાસે VMware vCloud પર બનેલા ક્લાઉડમાં અલગ vCNS vShield Edge વર્ચ્યુઅલ મશીન હતું. તે બોર્ડર ગેટવે તરીકે કામ કરે છે, જ્યાં ઘણા નેટવર્ક કાર્યોને ગોઠવવાનું શક્ય હતું: NAT, DHCP, ફાયરવોલ, VPN, લોડ બેલેન્સર, વગેરે. vShield Edge એ વર્ચ્યુઅલ મશીનની બહારની દુનિયા સાથેની ક્રિયાપ્રતિક્રિયા મર્યાદિત કરી ફાયરવોલ અને NAT. નેટવર્કની અંદર, વર્ચ્યુઅલ મશીનો સબનેટની અંદર મુક્તપણે એકબીજા સાથે વાતચીત કરે છે. જો તમે ખરેખર ટ્રાફિકને વિભાજીત કરવા અને જીતવા માંગતા હો, તો તમે એપ્લિકેશનના વ્યક્તિગત ભાગો (વિવિધ વર્ચ્યુઅલ મશીનો) માટે એક અલગ નેટવર્ક બનાવી શકો છો અને ફાયરવોલમાં તેમના નેટવર્ક ક્રિયાપ્રતિક્રિયા માટે યોગ્ય નિયમો સેટ કરી શકો છો. પરંતુ આ લાંબુ, મુશ્કેલ અને રસહીન છે, ખાસ કરીને જ્યારે તમારી પાસે ઘણી ડઝન વર્ચ્યુઅલ મશીનો હોય.
NSX માં, VMware એ હાઇપરવાઇઝર કર્નલમાં બનેલ વિતરિત ફાયરવોલનો ઉપયોગ કરીને માઇક્રો-સેગમેન્ટેશનનો ખ્યાલ અમલમાં મૂક્યો. તે માત્ર IP અને MAC એડ્રેસ માટે જ નહીં, પણ અન્ય ઑબ્જેક્ટ્સ: વર્ચ્યુઅલ મશીનો, એપ્લિકેશન્સ માટે પણ સુરક્ષા અને નેટવર્ક ક્રિયાપ્રતિક્રિયા નીતિઓને સ્પષ્ટ કરે છે. જો NSX સંસ્થામાં તૈનાત હોય, તો આ ઑબ્જેક્ટ્સ સક્રિય ડિરેક્ટરીમાંથી વપરાશકર્તા અથવા વપરાશકર્તાઓનું જૂથ હોઈ શકે છે. આવા દરેક ઑબ્જેક્ટ તેના પોતાના હૂંફાળું DMZ સાથે, જરૂરી સબનેટમાં, તેના પોતાના સુરક્ષા લૂપમાં માઇક્રોસેગમેન્ટમાં ફેરવાય છે :).
પહેલાં, સંસાધનોના સમગ્ર પૂલ માટે માત્ર એક સુરક્ષા પરિમિતિ હતી, જે એજ સ્વીચ દ્વારા સુરક્ષિત હતી, પરંતુ NSX સાથે તમે એક જ નેટવર્કની અંદર પણ, બિનજરૂરી ક્રિયાપ્રતિક્રિયાઓથી અલગ વર્ચ્યુઅલ મશીનને સુરક્ષિત કરી શકો છો.
જો કોઈ એન્ટિટી અલગ નેટવર્ક પર જાય તો સુરક્ષા અને નેટવર્કિંગ નીતિઓ અનુકૂલન કરે છે. ઉદાહરણ તરીકે, જો આપણે ડેટાબેઝ સાથેના મશીનને બીજા નેટવર્ક સેગમેન્ટમાં અથવા અન્ય કનેક્ટેડ વર્ચ્યુઅલ ડેટા સેન્ટરમાં ખસેડીએ, તો આ વર્ચ્યુઅલ મશીન માટે લખેલા નિયમો તેના નવા સ્થાનને ધ્યાનમાં લીધા વિના લાગુ થવાનું ચાલુ રહેશે. એપ્લિકેશન સર્વર હજુ પણ ડેટાબેઝ સાથે વાતચીત કરી શકશે.
એજ ગેટવે પોતે, vCNS vShield Edge, NSX Edge દ્વારા બદલવામાં આવ્યું છે. તેમાં જૂના એજની તમામ સજ્જનતાથી વિશેષતાઓ છે, ઉપરાંત કેટલીક નવી ઉપયોગી સુવિધાઓ છે. અમે તેમના વિશે આગળ વાત કરીશું.
NSX એજ સાથે નવું શું છે?
NSX એજ કાર્યક્ષમતા પર આધાર રાખે છે
ફાયરવ .લ. તમે IP સરનામાં, નેટવર્ક્સ, ગેટવે ઇન્ટરફેસ અને વર્ચ્યુઅલ મશીનોને ઑબ્જેક્ટ તરીકે પસંદ કરી શકો છો કે જેના પર નિયમો લાગુ કરવામાં આવશે.
DHCP. આ નેટવર્ક પર વર્ચ્યુઅલ મશીનો પર આપમેળે જારી કરવામાં આવનાર IP એડ્રેસની શ્રેણીને ગોઠવવા ઉપરાંત, NSX Edge પાસે હવે નીચેના કાર્યો છે: બંધન и રિલે.
ટેબમાં બાઇન્ડિંગ્સ જો તમને IP એડ્રેસ બદલવાની જરૂર ન હોય તો તમે વર્ચ્યુઅલ મશીનના MAC એડ્રેસને IP એડ્રેસ સાથે બાંધી શકો છો. મુખ્ય વસ્તુ એ છે કે આ IP સરનામું DHCP પૂલમાં શામેલ નથી.
ટેબમાં રિલે DHCP સંદેશાઓનો રિલે એ DHCP સર્વર્સ પર ગોઠવેલ છે જે તમારી સંસ્થાની બહાર vCloud ડિરેક્ટરમાં સ્થિત છે, જેમાં ભૌતિક ઈન્ફ્રાસ્ટ્રક્ચરના DHCP સર્વર્સનો સમાવેશ થાય છે.
રૂટીંગ. vShield Edge માત્ર સ્ટેટિક રૂટીંગને ગોઠવી શકે છે. OSPF અને BGP પ્રોટોકોલ માટે સપોર્ટ સાથે ડાયનેમિક રૂટીંગ અહીં દેખાય છે. ECMP (સક્રિય-સક્રિય) સેટિંગ્સ પણ ઉપલબ્ધ થઈ ગઈ છે, જેનો અર્થ છે કે ભૌતિક રાઉટર્સમાં સક્રિય-સક્રિય નિષ્ફળતા.
OSPF ની સ્થાપના
BGP ની સ્થાપના
બીજી નવી બાબત એ છે કે વિવિધ પ્રોટોકોલ વચ્ચે રૂટ્સનું ટ્રાન્સફર સેટ કરવું,
માર્ગ પુનઃવિતરણ.
L4/L7 લોડ બેલેન્સર. X-Forwarded-For HTTPs હેડર માટે રજૂ કરવામાં આવ્યું હતું. તેના વિના બધા રડ્યા. ઉદાહરણ તરીકે, તમારી પાસે એક વેબસાઇટ છે જે તમે સંતુલિત કરી રહ્યાં છો. આ હેડરને ફોરવર્ડ કર્યા વિના, બધું કામ કરે છે, પરંતુ વેબ સર્વરના આંકડાઓમાં તમે મુલાકાતીઓનો IP નહીં, પરંતુ બેલેન્સરનો IP જોયો છે. હવે બધું બરાબર છે.
એપ્લિકેશન નિયમો ટેબમાં પણ તમે હવે એવી સ્ક્રિપ્ટો ઉમેરી શકો છો જે ટ્રાફિક સંતુલનને સીધું નિયંત્રિત કરશે.
વી.પી.એન. IPSec VPN ઉપરાંત, NSX એજ સપોર્ટ કરે છે:
- L2 VPN, જે તમને ભૌગોલિક રીતે વિખરાયેલી સાઇટ્સ વચ્ચે નેટવર્કને સ્ટ્રેચ કરવાની મંજૂરી આપે છે. આવા VPN ની જરૂર છે, ઉદાહરણ તરીકે, જેથી કરીને જ્યારે બીજી સાઇટ પર જતી વખતે, વર્ચ્યુઅલ મશીન સમાન સબનેટમાં રહે અને તેનું IP સરનામું જાળવી રાખે.
- SSL VPN Plus, જે વપરાશકર્તાઓને કોર્પોરેટ નેટવર્ક સાથે રિમોટલી કનેક્ટ થવા દે છે. vSphere સ્તરે આવી કામગીરી હતી, પરંતુ vCloud ડિરેક્ટર માટે આ એક નવીનતા છે.
SSL પ્રમાણપત્રો. પ્રમાણપત્રો હવે NSX એજ પર ઇન્સ્ટોલ કરી શકાય છે. આ ફરીથી પ્રશ્ન આવે છે કે કોને https માટે પ્રમાણપત્ર વિના બેલેન્સરની જરૂર છે.
ઑબ્જેક્ટનું જૂથીકરણ. આ ટૅબમાં, ઑબ્જેક્ટ્સના જૂથો ઉલ્લેખિત છે જેના માટે ચોક્કસ નેટવર્ક ક્રિયાપ્રતિક્રિયા નિયમો લાગુ થશે, ઉદાહરણ તરીકે, ફાયરવોલ નિયમો.
આ ઑબ્જેક્ટ્સ IP અને MAC એડ્રેસ હોઈ શકે છે.
ફાયરવોલ નિયમો બનાવતી વખતે ઉપયોગમાં લઈ શકાય તેવી સેવાઓ (પ્રોટોકોલ-પોર્ટ સંયોજન) અને એપ્લિકેશનોની સૂચિ પણ છે. માત્ર vCD પોર્ટલ એડમિનિસ્ટ્રેટર જ નવી સેવાઓ અને એપ્લિકેશન ઉમેરી શકે છે.
આંકડા. કનેક્શન આંકડા: ગેટવે, ફાયરવોલ અને બેલેન્સરમાંથી પસાર થતો ટ્રાફિક.
દરેક IPSEC VPN અને L2 VPN ટનલ માટે સ્થિતિ અને આંકડા.
લોગીંગ. એજ સેટિંગ્સ ટેબમાં, તમે રેકોર્ડિંગ લોગ માટે સર્વરને સેટ કરી શકો છો. લોગીંગ DNAT/SNAT, DHCP, ફાયરવોલ, રૂટીંગ, બેલેન્સર, IPsec VPN, SSL VPN Plus માટે કામ કરે છે.
દરેક ઑબ્જેક્ટ/સેવા માટે નીચેના પ્રકારની ચેતવણીઓ ઉપલબ્ધ છે:
- ડીબગ
- ચેતવણી
- જટિલ
- ભૂલ
- ચેતવણી
- નોટિસ
- માહિતી
NSX એજ પરિમાણો
ઉકેલાઈ રહેલા કાર્યો અને VMware ના વોલ્યુમ પર આધાર રાખે છે
NSX એજ
(કોમ્પેક્ટ)
NSX એજ
(મોટા)
NSX એજ
(ક્વોડ-મોટા)
NSX એજ
(X-મોટા)
વીસીપીયુ
1
2
4
6
યાદગીરી
512MB
1GB
1GB
8GB
ડિસ્ક
512MB
512MB
512MB
4.5GB + 4GB
નિમણૂંક
એક
અરજી, પરીક્ષણ
માહીતી મથક
નાનું
અથવા સરેરાશ
માહીતી મથક
લોડ
ફાયરવોલ
સંતુલન
L7 સ્તર પર લોડ થાય છે
નીચે કોષ્ટકમાં NSX Edgeના કદના આધારે નેટવર્ક સેવાઓના ઓપરેટિંગ મેટ્રિક્સ છે.
NSX એજ
(કોમ્પેક્ટ)
NSX એજ
(મોટા)
NSX એજ
(ક્વોડ-મોટા)
NSX એજ
(X-મોટા)
ઈન્ટરફેસો
10
10
10
10
સબ ઈન્ટરફેસ (ટ્રંક)
200
200
200
200
NAT નિયમો
2,048
4,096
4,096
8,192
ARP એન્ટ્રીઝ
ઓવરરાઈટ સુધી
1,024
2,048
2,048
2,048
FW નિયમો
2000
2000
2000
2000
FW પ્રદર્શન
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP પૂલ
20,000
20,000
20,000
20,000
ECMP પાથ
8
8
8
8
સ્થિર માર્ગો
2,048
2,048
2,048
2,048
એલબી પૂલ્સ
64
64
64
1,024
LB વર્ચ્યુઅલ સર્વર્સ
64
64
64
1,024
LB સર્વર/પૂલ
32
32
32
32
એલબી આરોગ્ય તપાસો
320
320
320
3,072
LB અરજી નિયમો
4,096
4,096
4,096
4,096
L2VPN ક્લાયન્ટ્સ હબ ટુ સ્પોક
5
5
5
5
ગ્રાહક/સર્વર દીઠ L2VPN નેટવર્ક
200
200
200
200
IPSec ટનલ
512
1,600
4,096
6,000
SSLVPN ટનલ
50
100
100
1,000
SSLVPN ખાનગી નેટવર્ક્સ
16
16
16
16
સમવર્તી સત્રો
64,000
1,000,000
1,000,000
1,000,000
સત્ર/સેકન્ડ
8,000
50,000
50,000
50,000
LB થ્રુપુટ L7 પ્રોક્સી)
2.2Gbps
2.2Gbps
3Gbps
LB થ્રુપુટ L4 મોડ)
6Gbps
6Gbps
6Gbps
LB જોડાણો/s (L7 પ્રોક્સી)
46,000
50,000
50,000
LB સમવર્તી જોડાણો (L7 પ્રોક્સી)
8,000
60,000
60,000
LB કનેક્શન/s (L4 મોડ)
50,000
50,000
50,000
LB સમવર્તી જોડાણો (L4 મોડ)
600,000
1,000,000
1,000,000
BGP રૂટ્સ
20,000
50,000
250,000
250,000
BGP પડોશીઓ
10
20
100
100
BGP રૂટ્સ પુનઃવિતરિત
કોઈ મર્યાદા નહી
કોઈ મર્યાદા નહી
કોઈ મર્યાદા નહી
કોઈ મર્યાદા નહી
OSPF રૂટ્સ
20,000
50,000
100,000
100,000
OSPF LSA એન્ટ્રીઝ મેક્સ 750 પ્રકાર-1
20,000
50,000
100,000
100,000
OSPF સંલગ્નતા
10
20
40
40
OSPF રૂટ્સ પુનઃવિતરિત
2000
5000
20,000
20,000
કુલ રૂટ્સ
20,000
50,000
250,000
250,000
→
કોષ્ટક બતાવે છે કે માત્ર મોટા કદથી શરૂ થતા ઉત્પાદક દૃશ્યો માટે NSX એજ પર સંતુલન ગોઠવવાની ભલામણ કરવામાં આવે છે.
આજે મારી પાસે એટલું જ છે. નીચેના ભાગોમાં હું દરેક NSX એજ નેટવર્ક સેવાને કેવી રીતે ગોઠવી શકાય તે વિગતવાર જોઈશ.
સોર્સ: www.habr.com