VMware NSX សម្រាប់កូនតូច។ ផ្នែកទី 1

ប្រសិនបើអ្នកក្រឡេកមើលការកំណត់នៃជញ្ជាំងភ្លើងណាមួយ នោះទំនងជាយើងនឹងឃើញសន្លឹកដែលមានអាសយដ្ឋាន IP ច្រក ពិធីការ និងបណ្តាញរងជាច្រើន។ នេះជារបៀបដែលគោលការណ៍សុវត្ថិភាពបណ្តាញសម្រាប់ការចូលប្រើប្រាស់ធនធានរបស់អ្នកប្រើប្រាស់ត្រូវបានអនុវត្តតាមបែបបុរាណ។ ដំបូងពួកគេព្យាយាមរក្សាសណ្តាប់ធ្នាប់ក្នុងការកំណត់រចនាសម្ព័ន្ធ ប៉ុន្តែបន្ទាប់មកបុគ្គលិកចាប់ផ្តើមផ្លាស់ប្តូរពីនាយកដ្ឋានមួយទៅនាយកដ្ឋានមួយ ម៉ាស៊ីនមេកើនឡើង និងផ្លាស់ប្តូរតួនាទីរបស់ពួកគេ ការចូលប្រើសម្រាប់គម្រោងផ្សេងៗលេចឡើងដែលជាធម្មតាមិនត្រូវបានអនុញ្ញាត ហើយផ្លូវពពែដែលមិនស្គាល់រាប់រយបានលេចចេញមក។

នៅជាប់នឹងច្បាប់មួយចំនួន ប្រសិនបើអ្នកមានសំណាង មានមតិថា "Vasya សុំឱ្យខ្ញុំធ្វើបែបនេះ" ឬ "នេះគឺជាផ្លូវទៅកាន់ DMZ"។ អ្នកគ្រប់គ្រងបណ្តាញឈប់ដំណើរការ ហើយអ្វីៗមិនច្បាស់លាស់ទាំងស្រុង។ បន្ទាប់មកមាននរណាម្នាក់បានសម្រេចចិត្តលុបការកំណត់របស់ Vasya ហើយ SAP បានគាំង ពីព្រោះ Vasya ធ្លាប់បានស្នើសុំការចូលប្រើនេះដើម្បីដំណើរការ SAP ប្រយុទ្ធ។

ថ្ងៃនេះខ្ញុំនឹងនិយាយអំពីដំណោះស្រាយ VMware NSX ដែលជួយអនុវត្តការទំនាក់ទំនងបណ្តាញ និងគោលការណ៍សុវត្ថិភាពយ៉ាងជាក់លាក់ដោយមិនមានការភ័ន្តច្រឡំក្នុងការកំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើង។ ខ្ញុំ​នឹង​បង្ហាញ​អ្នក​ពី​លក្ខណៈ​ពិសេស​ថ្មី​ដែល​បាន​បង្ហាញ​បើ​ធៀប​នឹង​អ្វី​ដែល VMware ធ្លាប់​មាន​នៅ​ក្នុង​ផ្នែក​នេះ។

VMWare NSX គឺជាវេទិកានិម្មិត និងសុវត្ថិភាពសម្រាប់សេវាកម្មបណ្តាញ។ NSX ដោះស្រាយបញ្ហានៃការបញ្ជូនត ការផ្លាស់ប្តូរ ការផ្ទុកតុល្យភាព ជញ្ជាំងភ្លើង និងអាចធ្វើរឿងគួរឱ្យចាប់អារម្មណ៍ជាច្រើនទៀត។

NSX គឺជាអ្នកស្នងតំណែងរបស់ផលិតផល vCloud Networking and Security (vCNS) ផ្ទាល់ខ្លួនរបស់ VMware និង Nicira NVP ដែលទទួលបាន។

ពី vCNS ទៅ NSX

ពីមុន អតិថិជនមានម៉ាស៊ីននិម្មិត vCNS vShield Edge ដាច់ដោយឡែកនៅក្នុងពពកដែលបង្កើតឡើងនៅលើ VMware vCloud ។ វាដើរតួជាច្រកព្រំដែន ដែលវាអាចកំណត់រចនាសម្ព័ន្ធមុខងារបណ្តាញជាច្រើន៖ NAT, DHCP, Firewall, VPN, load balancer ។ល។ vShield Edge បានកំណត់អន្តរកម្មរបស់ម៉ាស៊ីននិម្មិតជាមួយពិភពខាងក្រៅដោយយោងទៅតាមច្បាប់ដែលបានបញ្ជាក់នៅក្នុង ជញ្ជាំងភ្លើង និង NAT ។ នៅក្នុងបណ្តាញ ម៉ាស៊ីននិម្មិតបានប្រាស្រ័យទាក់ទងគ្នាដោយសេរីនៅក្នុងបណ្តាញរង។ ប្រសិនបើអ្នកពិតជាចង់បែងចែក និងយកឈ្នះចរាចរណ៍ អ្នកអាចបង្កើតបណ្តាញដាច់ដោយឡែកសម្រាប់ផ្នែកនីមួយៗនៃកម្មវិធី (ម៉ាស៊ីននិម្មិតផ្សេងគ្នា) ហើយកំណត់ច្បាប់សមរម្យសម្រាប់អន្តរកម្មបណ្តាញរបស់ពួកគេនៅក្នុងជញ្ជាំងភ្លើង។ ប៉ុន្តែនេះគឺវែង ពិបាក និងមិនចាប់អារម្មណ៍ ជាពិសេសនៅពេលដែលអ្នកមានម៉ាស៊ីននិម្មិតរាប់សិប។

នៅក្នុង NSX, VMware បានអនុវត្តគំនិតនៃការបែងចែកខ្នាតតូចដោយប្រើជញ្ជាំងភ្លើងចែកចាយដែលបានបង្កើតឡើងនៅក្នុងខឺណែល hypervisor ។ វាបញ្ជាក់អំពីសុវត្ថិភាព និងគោលការណ៍អន្តរកម្មបណ្តាញមិនត្រឹមតែសម្រាប់អាសយដ្ឋាន IP និង MAC ប៉ុណ្ណោះទេ ប៉ុន្តែសម្រាប់វត្ថុផ្សេងទៀតផងដែរ៖ ម៉ាស៊ីននិម្មិត កម្មវិធី។ ប្រសិនបើ NSX ត្រូវបានដាក់ពង្រាយនៅក្នុងស្ថាប័នមួយ វត្ថុទាំងនេះអាចជាអ្នកប្រើប្រាស់ ឬក្រុមអ្នកប្រើប្រាស់ពី Active Directory។ វត្ថុបែបនេះនីមួយៗប្រែទៅជា microsegment នៅក្នុងរង្វិលជុំសុវត្ថិភាពរបស់វាផ្ទាល់ នៅក្នុងបណ្តាញរងដែលត្រូវការ ជាមួយនឹង DMZ ដ៏កក់ក្ដៅរបស់វាផ្ទាល់ :) ។

ពីមុនមានបរិវេណសុវត្ថិភាពតែមួយគត់សម្រាប់ធនធានទាំងមូល ដែលត្រូវបានការពារដោយកុងតាក់គែម ប៉ុន្តែជាមួយ NSX អ្នកអាចការពារម៉ាស៊ីននិម្មិតដាច់ដោយឡែកពីអន្តរកម្មដែលមិនចាំបាច់ សូម្បីតែនៅក្នុងបណ្តាញតែមួយក៏ដោយ។

គោលការណ៍សុវត្ថិភាព និងបណ្តាញសម្របខ្លួន ប្រសិនបើអង្គភាពផ្លាស់ទីទៅបណ្តាញផ្សេង។ ឧទាហរណ៍ ប្រសិនបើយើងផ្លាស់ទីម៉ាស៊ីនដែលមានមូលដ្ឋានទិន្នន័យទៅផ្នែកបណ្តាញផ្សេងទៀត ឬសូម្បីតែទៅកាន់មជ្ឈមណ្ឌលទិន្នន័យនិម្មិតដែលបានតភ្ជាប់ផ្សេងទៀត នោះច្បាប់ដែលបានសរសេរសម្រាប់ម៉ាស៊ីននិម្មិតនេះនឹងបន្តអនុវត្តដោយមិនគិតពីទីតាំងថ្មីរបស់វា។ ម៉ាស៊ីនមេកម្មវិធីនឹងនៅតែអាចទំនាក់ទំនងជាមួយមូលដ្ឋានទិន្នន័យបាន។

ច្រកទ្វារគែមដោយខ្លួនឯង vCNS vShield Edge ត្រូវបានជំនួសដោយ NSX Edge ។ វាមានមុខងារសុភាពបុរសទាំងអស់នៃ Edge ចាស់ បូករួមទាំងមុខងារមានប្រយោជន៍ថ្មីៗមួយចំនួនទៀត។ យើងនឹងនិយាយអំពីពួកគេបន្ថែមទៀត។

តើមានអ្វីថ្មីជាមួយ NSX Edge?

មុខងារ NSX Edge អាស្រ័យលើ បោះពុម្ព NSX មានប្រាំក្នុងចំណោមពួកគេ: ស្តង់ដារ វិជ្ជាជីវៈ កម្រិតខ្ពស់ សហគ្រាស បូកការិយាល័យសាខាពីចម្ងាយ។ អ្វី​គ្រប់​យ៉ាង​ដែល​ថ្មី​និង​គួរ​ឱ្យ​ចាប់​អារម្មណ៍​អាច​ត្រូវ​បាន​មើល​ឃើញ​តែ​ចាប់​ផ្តើ​ម​ជាមួយ​កម្រិត​ខ្ពស់​។ រួមទាំងចំណុចប្រទាក់ថ្មី ដែលរហូតដល់ vCloud ប្តូរទាំងស្រុងទៅ HTML5 (VMware សន្យារដូវក្តៅឆ្នាំ 2019) នឹងបើកនៅក្នុងផ្ទាំងថ្មី។

ជញ្ជាំងភ្លើង។ អ្នកអាចជ្រើសរើសអាសយដ្ឋាន IP បណ្តាញ ចំណុចប្រទាក់ច្រកផ្លូវ និងម៉ាស៊ីននិម្មិតជាវត្ថុដែលច្បាប់នឹងត្រូវបានអនុវត្ត។

DHCP បន្ថែមពីលើការកំណត់រចនាសម្ព័ន្ធជួរនៃអាសយដ្ឋាន IP ដែលនឹងត្រូវបានចេញដោយស្វ័យប្រវត្តិទៅម៉ាស៊ីននិម្មិតនៅលើបណ្តាញនេះ NSX Edge ឥឡូវនេះមានមុខងារដូចខាងក្រោមៈ ការចង и ការបញ្ជូន.

នៅក្នុងផ្ទាំង ការចង អ្នកអាចភ្ជាប់អាសយដ្ឋាន MAC របស់ម៉ាស៊ីននិម្មិតទៅនឹងអាសយដ្ឋាន IP ប្រសិនបើអ្នកត្រូវការអាសយដ្ឋាន IP មិនឱ្យផ្លាស់ប្តូរ។ រឿងចំបងគឺថាអាសយដ្ឋាន IP នេះមិនត្រូវបានរួមបញ្ចូលនៅក្នុង DHCP Pool ទេ។

នៅក្នុងផ្ទាំង ការបញ្ជូន ការបញ្ជូនបន្តនៃសារ DHCP ត្រូវបានកំណត់រចនាសម្ព័ន្ធទៅម៉ាស៊ីនមេ DHCP ដែលមានទីតាំងនៅខាងក្រៅស្ថាប័នរបស់អ្នកនៅក្នុង vCloud Director រួមទាំងម៉ាស៊ីនមេ DHCP នៃហេដ្ឋារចនាសម្ព័ន្ធរូបវន្ត។

ការនាំផ្លូវ។ vShield Edge អាចកំណត់រចនាសម្ព័ន្ធផ្លូវឋិតិវន្តតែប៉ុណ្ណោះ។ ការនាំផ្លូវថាមវន្តដោយមានការគាំទ្រសម្រាប់ពិធីការ OSPF និង BGP បានបង្ហាញខ្លួននៅទីនេះ។ ការកំណត់ ECMP (Active-active) ក៏អាចប្រើបានដែរ ដែលមានន័យថា សកម្ម-សកម្មបរាជ័យចំពោះរ៉ោតទ័ររាងកាយ។

ការដំឡើង OSPF

ការដំឡើង BGP

រឿងថ្មីមួយទៀតគឺការរៀបចំការផ្ទេរផ្លូវរវាងពិធីការផ្សេងៗ។
ការចែកចាយផ្លូវ។

L4/L7 Load Balancer ។ X-Forwarded-For ត្រូវបានណែនាំសម្រាប់បឋមកថា HTTPs ។ មនុស្សគ្រប់គ្នាយំដោយគ្មានគាត់។ ឧទាហរណ៍ អ្នកមានគេហទំព័រដែលអ្នកកំពុងមានតុល្យភាព។ បើគ្មានការបញ្ជូនបន្តបឋមកថានេះទេ អ្វីគ្រប់យ៉ាងដំណើរការ ប៉ុន្តែនៅក្នុងស្ថិតិម៉ាស៊ីនមេគេហទំព័រ អ្នកមិនបានឃើញ IP របស់អ្នកចូលមើលទេ ប៉ុន្តែជា IP របស់អ្នកតុល្យភាព។ ឥឡូវនេះអ្វីៗគឺត្រឹមត្រូវ។

ផងដែរនៅក្នុងផ្ទាំងច្បាប់កម្មវិធីឥឡូវនេះអ្នកអាចបន្ថែមស្គ្រីបដែលនឹងគ្រប់គ្រងតុល្យភាពចរាចរណ៍ដោយផ្ទាល់។

ភីភី។ បន្ថែមពីលើ IPSec VPN NSX Edge គាំទ្រ៖

• L2 VPN ដែលអនុញ្ញាតឱ្យអ្នកពង្រីកបណ្តាញរវាងគេហទំព័រដែលបែកខ្ញែកតាមភូមិសាស្ត្រ។ ជាឧទាហរណ៍ ត្រូវការ VPN បែបនេះ ដូច្នេះនៅពេលផ្លាស់ទីទៅគេហទំព័រមួយផ្សេងទៀត ម៉ាស៊ីននិម្មិតនៅតែស្ថិតក្នុងបណ្តាញរងដដែល ហើយរក្សាអាសយដ្ឋាន IP របស់វា។

• SSL VPN Plus ដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ភ្ជាប់ពីចម្ងាយទៅកាន់បណ្តាញសាជីវកម្ម។ នៅកម្រិត vSphere មានមុខងារបែបនេះ ប៉ុន្តែសម្រាប់ vCloud Director នេះគឺជាការច្នៃប្រឌិតមួយ។

វិញ្ញាបនបត្រ SSL ។ ឥឡូវនេះ វិញ្ញាបនបត្រអាចត្រូវបានដំឡើងនៅលើ NSX Edge ។ នេះកើតឡើងម្តងទៀតចំពោះសំណួរថាតើអ្នកណាត្រូវការតុល្យភាពដោយគ្មានវិញ្ញាបនបត្រសម្រាប់ https ។

ការដាក់ជាក្រុមវត្ថុ។ នៅក្នុងផ្ទាំងនេះ ក្រុមវត្ថុត្រូវបានបញ្ជាក់ដែលច្បាប់អន្តរកម្មបណ្តាញជាក់លាក់នឹងអនុវត្ត ឧទាហរណ៍ ច្បាប់ជញ្ជាំងភ្លើង។

វត្ថុទាំងនេះអាចជាអាសយដ្ឋាន IP និង MAC ។

 


វាក៏មានបញ្ជីសេវាកម្ម (ការរួមបញ្ចូលគ្នារវាងច្រក-ពិធីការ) និងកម្មវិធីដែលអាចប្រើបាននៅពេលបង្កើតច្បាប់ជញ្ជាំងភ្លើង។ មានតែអ្នកគ្រប់គ្រងវិបផតថល vCD ប៉ុណ្ណោះដែលអាចបន្ថែមសេវាកម្ម និងកម្មវិធីថ្មីៗបាន។

 


ស្ថិតិ។ ស្ថិតិនៃការតភ្ជាប់៖ ចរាចរណ៍ដែលឆ្លងកាត់ច្រកចេញចូល ជញ្ជាំងភ្លើង និងតុល្យភាព។

ស្ថានភាព និងស្ថិតិសម្រាប់ IPSEC VPN និង L2 VPN tunnel នីមួយៗ។

ការកាប់ឈើ។ នៅក្នុងផ្ទាំងការកំណត់គែម អ្នកអាចកំណត់ម៉ាស៊ីនមេសម្រាប់ការកត់ត្រាកំណត់ហេតុ។ ការកត់ត្រាដំណើរការសម្រាប់ DNAT/SNAT, DHCP, Firewall, routing, balancer, IPsec VPN, SSL VPN Plus។
 
ប្រភេទនៃការជូនដំណឹងខាងក្រោមមានសម្រាប់វត្ថុ/សេវាកម្មនីមួយៗ៖

- បំបាត់កំហុស
- ដាស់តឿន
- រិះគន់
- កំហុស
- ការព្រមាន
- សេចក្តីជូនដំណឹង
- ព័ត៌មាន

វិមាត្រ NSX Edge

អាស្រ័យលើកិច្ចការដែលកំពុងដោះស្រាយ និងបរិមាណ VMware ណែនាំ បង្កើត NSX Edge ក្នុងទំហំដូចខាងក្រោម៖

NSX Edge
(បង្រួម)

NSX Edge
(ធំ)

NSX Edge
(ធំបួន)

NSX Edge
(X-ធំ)

vCPU

1

2

4

6

អង្គចងចាំ

512MB

1GB

1GB

8GB

ថាស

512MB

512MB

512MB

4.5GB + 4GB

ការតែងតាំង

មួយ។
កម្មវិធី, សាកល្បង
មជ្ឈមណ្ឌល​ទិន្នន័យ

តូច
ឬមធ្យម
មជ្ឈមណ្ឌល​ទិន្នន័យ

ផ្ទុក
ជញ្ជាំងភ្លើង

តុល្យភាព
ផ្ទុកនៅកម្រិត L7

ខាងក្រោមនៅក្នុងតារាងគឺជារង្វាស់ប្រតិបត្តិការនៃសេវាកម្មបណ្តាញអាស្រ័យលើទំហំនៃ NSX Edge ។

NSX Edge
(បង្រួម)

NSX Edge
(ធំ)

NSX Edge
(ធំបួន)

NSX Edge
(X-ធំ)

ចំណុចប្រទាក់

10

10

10

10

ចំណុចប្រទាក់រង (ដើម)

200

200

200

200

ច្បាប់ NAT

2,048

4,096

4,096

8,192

ធាតុ ARP
រហូតដល់សរសេរជាន់លើ

1,024

2,048

2,048

2,048

ច្បាប់ FW

2000

2000

2000

2000

ការអនុវត្ត FW

3Gbps

9.7Gbps

9.7Gbps

9.7Gbps

អាង DHCP

20,000

20,000

20,000

20,000

ផ្លូវ ECMP

8

8

8

8

ផ្លូវឋិតិវន្ត

2,048

2,048

2,048

2,048

អាង LB

64

64

64

1,024

ម៉ាស៊ីនមេនិម្មិត LB

64

64

64

1,024

ម៉ាស៊ីនមេ LB/អាង

32

32

32

32

ការពិនិត្យសុខភាព LB

320

320

320

3,072

ច្បាប់នៃការដាក់ពាក្យ LB

4,096

4,096

4,096

4,096

មជ្ឈមណ្ឌលអតិថិជន L2VPN ដែលត្រូវនិយាយ

5

5

5

5

បណ្តាញ L2VPN សម្រាប់អតិថិជន/ម៉ាស៊ីនមេ

200

200

200

200

ផ្លូវរូងក្រោមដី IPSec

512

1,600

4,096

6,000

ផ្លូវរូងក្រោមដី SSLVPN

50

100

100

1,000

បណ្តាញឯកជន SSLVPN

16

16

16

16

វគ្គដំណាលគ្នា។

64,000

1,000,000

1,000,000

1,000,000

វគ្គ/វិនាទី

8,000

50,000

50,000

50,000

LB ឆ្លងកាត់ L7 ប្រូកស៊ី)

2.2Gbps

2.2Gbps

3Gbps

របៀប LB ឆ្លងកាត់ L4)

6Gbps

6Gbps

6Gbps

ការតភ្ជាប់ LB/s (L7 ប្រូកស៊ី)

46,000

50,000

50,000

ការតភ្ជាប់ស្របគ្នា LB (ប្រូកស៊ី L7)

8,000

60,000

60,000

ការតភ្ជាប់ LB/s (របៀប L4)

50,000

50,000

50,000

ការតភ្ជាប់ស្របគ្នា LB (របៀប L4)

600,000

1,000,000

1,000,000

ផ្លូវ BGP

20,000

50,000

250,000

250,000

អ្នកជិតខាង BGP

10

20

100

100

ផ្លូវ BGP ត្រូវបានចែកចាយឡើងវិញ

គ្មាន​ដែន​កំណត់

គ្មាន​ដែន​កំណត់

គ្មាន​ដែន​កំណត់

គ្មាន​ដែន​កំណត់

ផ្លូវ OSPF

20,000

50,000

100,000

100,000

ធាតុ OSPF LSA អតិបរមា 750 ប្រភេទ-1

20,000

50,000

100,000

100,000

ទីតាំងជាប់ OSPF

10

20

40

40

ផ្លូវ OSPF ត្រូវបានចែកចាយឡើងវិញ

2000

5000

20,000

20,000

ផ្លូវសរុប

20,000

50,000

250,000

250,000

→ ប្រភព

តារាងបង្ហាញថាវាត្រូវបានផ្ដល់អនុសាសន៍ឱ្យរៀបចំតុល្យភាពនៅលើ NSX Edge សម្រាប់សេណារីយ៉ូផលិតភាពដែលចាប់ផ្តើមពីទំហំធំប៉ុណ្ណោះ។

នោះហើយជាអ្វីដែលខ្ញុំមានសម្រាប់ថ្ងៃនេះ។ នៅក្នុងផ្នែកខាងក្រោមខ្ញុំនឹងរៀបរាប់លម្អិតអំពីរបៀបកំណត់រចនាសម្ព័ន្ធសេវាបណ្តាញ NSX Edge នីមួយៗ។

ប្រភព: www.habr.com