Ger hûn li konfigurasyona her dîwarê dîwarê mêze bikin, wê hingê bi îhtîmalek mezin em ê pelek bi komek navnîşanên IP, port, protokol û subnetan bibînin. Bi vî rengî polîtîkayên ewlehiya torê ji bo gihîştina bikarhêner a çavkaniyan bi rengek klasîk têne bicîh kirin. Di destpêkê de ew hewl didin ku rêzê di mîhengê de biparêzin, lê dûv re karmend dest pê dikin ku ji beşê ber bi beşê ve biçin, server zêde dibin û rolên xwe diguhezin, gihîştina projeyên cihêreng li cîhê ku bi gelemperî destûr nayê dayîn xuya dike, û bi sedan rêyên bizinê yên nenas derdikevin holê.
Li kêleka hin qaîdeyan, heke hûn bextewar bin, şîrove hene "Vasya ji min xwest ku ez wiya bikim" an "Ev rêyek ji DMZ re ye." Rêvebirê torê dev jê berdide, û her tişt bi tevahî nezelal dibe. Dûv re kesek biryar da ku konfigurasyona Vasya paqij bike, û SAP têk çû, ji ber ku Vasya carekê ev gihîştin xwest ku SAP-a şer bimeşîne.
Îro ez ê li ser çareseriya VMware NSX biaxivim, ku ji bo pêkanîna pêwendiya torê û polîtîkayên ewlehiyê bêyî tevliheviyê di mîhengên dîwarê de dibe alîkar. Ez ê nîşanî we bidim ka kîjan taybetmendiyên nû li gorî tiştê ku VMware berê di vê beşê de hebû diyar bûne.
VMWare NSX ji bo karûbarên torê platformek virtualkirin û ewlehiyê ye. NSX pirsgirêkên rêvekirinê, veguheztinê, hevsengkirina barkirinê, dîwarê agir çareser dike û dikare gelek tiştên din ên balkêş bike.
NSX serkêşê hilbera VCloud Torgilok û Ewlekariya xwe ya VMware (vCNS) û Nicira NVP-ya wergirtî ye.
Ji vCNS heta NSX
Berê, xerîdar di nav ewrek ku li ser VMware vCloud hatî çêkirin de makîneyek virtual ya vCNS vShield Edge ya cihê bû. Ew wekî dergehek sînor tevdigeriya, ku li wir gengaz bû ku meriv gelek fonksiyonên torê mîheng bike: NAT, DHCP, Firewall, VPN, balansa barkirinê, hwd. Firewall û NAT. Di nav torê de, makîneyên virtual bi serbestî di nav subnetan de bi hev re danûstandin kirin. Heke hûn bi rastî dixwazin seyrûseferê dabeş bikin û bi ser bixin, hûn dikarin ji bo beşên kesane yên serîlêdanan (makîneyên cihêreng ên virtual) torgilokek veqetandî çêbikin û ji bo danûstendina torê ya wan di dîwarê agir de qaîdeyên guncan destnîşan bikin. Lê ev dirêj, dijwar û nebalkêş e, nemaze dema ku we bi dehan makîneyên virtual hene.
Di NSX-ê de, VMware têgeha mîkro-segmentasyonê bi karanîna dîwarê dîwarê belavkirî ku di nav kernelê hypervisor de hatî çêkirin pêk anî. Ew polîtîkayên pêwendiya ewlehiyê û torê ne tenê ji bo navnîşanên IP û MAC, lê ji bo tiştên din jî diyar dike: makîneyên virtual, serîlêdan. Ger NSX di nav rêxistinek de were bicîh kirin, ev tişt dikarin bikarhênerek an komek bikarhêneran ji Active Directory bin. Her tiştek wusa di çerxa xweya ewlehiyê de, di binneteweya pêwîst de, bi DMZ-ya xweya xweş vediguhere mîkrosegmentek :).
Berê, ji bo tevahiya hewza çavkaniyan tenê yek perimeterek ewlehiyê hebû, ku ji hêla veguhezek devê ve hatî parastin, lê bi NSX-ê hûn dikarin makîneyek virtual ya cihêreng ji danûstendinên nehewce, tewra di nav heman torê de jî biparêzin.
Polîtîkayên ewlehî û torê ger ku saziyek berbi torgilokek cûda ve biçe adapte dibin. Mînakî, heke em makîneyek bi databasê veguhezînin beşa torê ya din an jî heta navendek daneya virtual ya din a girêdayî, wê hingê qaîdeyên ku ji bo vê makîneya virtual hatine nivîsandin bêyî cîhê wê yê nû dê bidomînin. Pêşkêşkara serîlêdanê dê hîn jî bikaribe bi databasê re têkilî dayne.
Deriyê qiraxê bixwe, vCNS vShield Edge, ji hêla NSX Edge ve hatî guhertin. Ew hemî taybetmendiyên gentlemanly yên Edge kevn, plus çend taybetmendiyên kêrhatî yên nû hene. Em ê bêtir li ser wan biaxivin.
Çi tiştên nû bi NSX Edge re heye?
Fonksiyona NSX Edge girêdayî ye NSX. Pênc ji wan hene: Standard, Pîşeyî, Pêşketî, Enterprise, Plus Ofîsa Şaxa Dûr. Her tiştê nû û balkêş tenê bi Pêşkeftî dest pê dike dikare were dîtin. Di nav de navgînek nû, ku heya vCloud bi tevahî veguhere HTML5 (VMware havîna 2019-an soz dide), di tabloyek nû de vedibe.
firewall. Hûn dikarin navnîşanên IP-ê, toran, navgînên dergehê, û makîneyên virtual wekî tiştên ku dê qaîdeyên li ser wan werin sepandin hilbijêrin.
DHCP. Digel veavakirina rêza navnîşanên IP-yê yên ku dê bixweber ji makîneyên virtual yên li ser vê torê re werin derxistin, NSX Edge nuha fonksiyonên jêrîn heye: girêdidan и Relay.
Di tabê de Bindings Heke hûn hewce ne ku navnîşana IP-ê neyê guheztin hûn dikarin navnîşana MAC-a makîneyek virtual bi navnîşek IP-yê ve girêdin. Ya sereke ev e ku ev navnîşana IP-ê di hewza DHCP de tune ye.
Di tabê de Relay veguheztina peyamên DHCP-ê ji serverên DHCP-ê yên ku li dervayê rêxistina we di Derhênerê vCloud-ê de ne, di nav de serverên DHCP yên binesaziya laşî ve têne mîheng kirin.
Routing. vShield Edge tenê dikaribû rêça statîk mîheng bike. Rêwîtiya dînamîkî ya bi piştgiriya protokolên OSPF û BGP li vir xuya bû. Mîhengên ECMP (Çalak-çalak) jî peyda bûne, ku tê wateya têkçûna çalak-aktîf a rêwerên laşî.
Sazkirina OSPF
Sazkirina BGP
Tiştek din a nû sazkirina veguheztina rêgezan di navbera protokolên cihêreng de ye,
belavkirina rê.
L4 / L7 Balanser Load. X-Forwarded-For ji bo sernavê HTTP-ê hate destnîşan kirin. Her kes bêyî wî giriya. Mînakî, we malperek heye ku hûn hevseng dikin. Bêyî şandina vê sernavê, her tişt dixebite, lê di statîstîkên servera malperê de we ne IP-ya mêvanan, lê IP-ya balansek dît. Niha her tişt rast e.
Di heman demê de di tabloya Rêgezên Serlêdanê de hûn naha dikarin nivîsarên ku rasterast balansa trafîkê kontrol bikin lê zêde bikin.
vpn. Ji bilî IPSec VPN, NSX Edge piştgirî dike:
- L2 VPN, ku dihêle hûn toran di navbera malperên erdnîgarî belavbûyî de dirêj bikin. Mînakî, VPNek wusa hewce ye, da ku gava ku berbi malperek din ve diçe, makîneya virtual di heman subnetê de bimîne û navnîşana IP-ya xwe bigire.
- SSL VPN Plus, ku destûrê dide bikarhêneran ku ji dûr ve bi torgilokek pargîdanî ve girêdayî bin. Di asta vSphere de fonksiyonek wusa hebû, lê ji bo Derhênerê vCloud ev nûbûnek e.
Sertîfîkayên SSL. Naha sertîfîka dikarin li ser NSX Edge werin saz kirin. Ev dîsa tê ser pirsa ku ji bo https hewceyê balansek bêyî sertîfîkayê kê ye.
Komkirina Objekt. Di vê tabloyê de, komên tiştan têne destnîşan kirin ku ji bo wan hin qaîdeyên danûstendina torê dê bicîh bibin, mînakî, qaîdeyên dîwarê agir.
Van tiştan dikarin navnîşanên IP û MAC bin.
Di heman demê de navnîşek karûbar (kombînasyona protokol-port) û serîlêdanên ku di dema afirandina qaîdeyên dîwarê agir de têne bikar anîn jî hene. Tenê rêveberê portalê vCD dikare karûbar û serîlêdanên nû lê zêde bike.
Jimare. Statîstîkên pêwendiyê: seyrûsefera ku di dergeh, dîwarê agir û balanserê re derbas dibe.
Rewş û statîstîk ji bo her tunelek IPSEC VPN û L2 VPN.
Logging. Di tabloya Mîhengên Edge de, hûn dikarin serverê ji bo tomarkirina têketin saz bikin. Têketin ji bo DNAT/SNAT, DHCP, Firewall, rêkirin, balansek, IPsec VPN, SSL VPN Plus dixebite.
Cûreyên jêrîn ên hişyariyê ji bo her tişt / karûbar hene:
- Debug
-Hişyar
-Rexneyan
- Xeletî
-Gazî
- Bala xwe bidinê
- Agahî
Pîvanên NSX Edge
Bi karên ku têne çareser kirin û qebareya VMware ve girêdayî ye NSX Edge di mezinahiyên jêrîn de biafirînin:
NSX Edge
(Gişt)
NSX Edge
(Mezin)
NSX Edge
(Çar-Mezin)
NSX Edge
(X-Mezin)
vCPU
1
2
4
6
Bîr
512MB
1GB
1GB
8GB
dîskê
512MB
512MB
512MB
4.5GB + 4GB
Rûniştinê
Yek
sepan, ceribandin
navenda daneyê
Biçûk
an navîn
navenda daneyê
Barkirin
firewall
Balandin
di asta L7 de bar dike
Li jêr di tabloyê de metrîkên xebitandinê yên karûbarên torê li gorî mezinahiya NSX Edge ve girêdayî ne.
NSX Edge
(Gişt)
NSX Edge
(Mezin)
NSX Edge
(Çar-Mezin)
NSX Edge
(X-Mezin)
interfaces
10
10
10
10
Navberên Bin (Trunk)
200
200
200
200
Rêzikên NAT
2,048
4,096
4,096
8,192
ARP Entries
Heta Overwrite
1,024
2,048
2,048
2,048
Rêbazên FW
2000
2000
2000
2000
Performansa FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP Pools
20,000
20,000
20,000
20,000
Rêyên ECMP
8
8
8
8
Rêgehên Statîkî
2,048
2,048
2,048
2,048
LB Pools
64
64
64
1,024
Pêşkêşkerên LB Virtual
64
64
64
1,024
LB Server / Pool
32
32
32
32
Kontrolên Tenduristiya LB
320
320
320
3,072
Rêbazên Serlêdana LB
4,096
4,096
4,096
4,096
Navenda Xerîdarên L2VPN ji bo axaftinê
5
5
5
5
Tora L2VPN ji bo Xerîdar / Server
200
200
200
200
Tunelên IPSec
512
1,600
4,096
6,000
Tunelên SSLVPN
50
100
100
1,000
Torên Taybet ên SSLVPN
16
16
16
16
Rûniştinên hevdem
64,000
1,000,000
1,000,000
1,000,000
Rûniştin / Duyemîn
8,000
50,000
50,000
50,000
LB Throughput L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
Moda L4 Rêwîtiya LB)
6Gbps
6Gbps
6Gbps
Têkilî/yên LB (L7 Proxy)
46,000
50,000
50,000
Têkiliyên Hevdem LB (L7 Proxy)
8,000
60,000
60,000
Têkilî/yên LB (Moda L4)
50,000
50,000
50,000
Têkiliyên Hevdem LB (Moda L4)
600,000
1,000,000
1,000,000
BGP Routes
20,000
50,000
250,000
250,000
Cîranên BGP
10
20
100
100
BGP Routes Ji nû ve belav kirin
No Sînora
No Sînora
No Sînora
No Sînora
OSPF Routes
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Type-1
20,000
50,000
100,000
100,000
Cîranên OSPF
10
20
40
40
OSPF Routes ji nû ve belav kirin
2000
5000
20,000
20,000
Total Routes
20,000
50,000
250,000
250,000
→
Tablo destnîşan dike ku ji bo senaryoyên hilber tenê ji Mezinahiya Mezin dest pê dike, tê pêşniyar kirin ku hevsengiya li ser NSX Edge organîze bike.
Tiştê ku îro min heye ev e. Di beşên jêrîn de ez ê bi hûrgulî derbas bikim ka meriv çawa her karûbarê torê ya NSX Edge mîheng dike.
Source: www.habr.com