Raha mijery ny config misy firewall ianao, dia azo inoana fa hahita takelaka misy adiresy IP, seranana, protocols ary subnets. Toy izany no fomba fampiharana ny politikan'ny fiarovana amin'ny tambajotra ho an'ny fidiran'ny mpampiasa amin'ny loharano. Amin'ny voalohany dia miezaka ny mitazona ny filaminana ao amin'ny config izy ireo, fa avy eo ny mpiasa dia manomboka mivezivezy amin'ny departemanta mankany amin'ny departemanta, mihamaro ny server ary manova ny andraikiny, ny fidirana amin'ny tetikasa samihafa dia miseho amin'ny toerana tsy avelany matetika, ary ny lalan'ny osy tsy fantatra an-jatony no mipoitra.
Eo akaikin'ny fitsipika sasany, raha tsara vintana ianao, dia misy fanehoan-kevitra hoe "Nangataka ahy i Vasya hanao izany" na "Andalan-teny mankany amin'ny DMZ ity." Niala ny mpitantana ny tambajotra, ary lasa tsy mazava ny zava-drehetra. Avy eo dia nisy olona nanapa-kevitra ny hanadio ny config an'i Vasya, ary nianjera ny SAP, satria nangataka an'io fidirana io i Vasya mba hampandehanana ny ady SAP.
Androany aho dia hiresaka momba ny vahaolana VMware NSX, izay manampy amin'ny fampiharana marina ny fifandraisana amin'ny tambajotra sy ny politikam-piarovana tsy misy fisafotofotoana amin'ny configs firewall. Hasehoko anao ny endri-javatra vaovao niseho raha oharina amin'ny VMware teo aloha tamin'ity ampahany ity.
VMWare NSX dia sehatra virtoaly sy fiarovana ho an'ny serivisy tambajotra. Ny NSX dia mamaha ny olan'ny zotra, ny fifindrana, ny fifandanjana entana, ny firewall ary afaka manao zavatra mahaliana maro hafa.
NSX no mpandimby ny vokatra vCloud Networking and Security (vCNS) an'ny VMware manokana sy ny Nicira NVP azo.
Avy amin'ny vCNS mankany NSX
Teo aloha, nisy mpanjifa iray nanana milina virtoaly vCNS vShield Edge misaraka amin'ny rahona natsangana tamin'ny VMware vCloud. Niasa toy ny vavahadin-tsisintany izy io, izay nahafahana nanamboatra tambajotra maro: NAT, DHCP, Firewall, VPN, mpandrindra entana, sns. vShield Edge dia nametra ny fifandraisan'ny milina virtoaly amin'ny tontolo ivelany araka ny fitsipika voalaza ao amin'ny Firewall sy NAT. Ao anatin'ny tambajotra dia nifampiresaka malalaka tao anatin'ny subnets ireo milina virtoaly. Raha tena te-hizara sy handresy ny fifamoivoizana ianao, dia azonao atao ny manangana tambajotra mitokana ho an'ny ampahany tsirairay amin'ny fampiharana (milina virtoaly samihafa) ary mametraka ny fitsipika mifanaraka amin'ny fifandraisan'izy ireo amin'ny tambajotra ao amin'ny firewall. Saingy lava sy sarotra ary tsy mahaliana izany, indrindra rehefa manana milina virtoaly am-polony ianao.
Ao amin'ny NSX, ny VMware dia nampihatra ny foto-kevitry ny micro-segmentation tamin'ny alΓ lan'ny firewall voazara natsangana tao amin'ny kernel hypervisor. Izy io dia mamaritra ny politika momba ny fiarovana sy ny fifandraisana amin'ny tambajotra tsy ho an'ny adiresy IP sy MAC ihany, fa ho an'ny zavatra hafa koa: milina virtoaly, fampiharana. Raha apetraka ao anatin'ny fikambanana iray ny NSX dia mety ho mpampiasa na vondron'ny mpampiasa avy amin'ny Active Directory ireo zavatra ireo. Ny zavatra tsirairay toy izany dia mivadika ho microsegment ao amin'ny loop fiarovana azy manokana, ao amin'ny subnet ilaina, miaraka amin'ny DMZ mahafinaritra azy :).
Teo aloha, tsy nisy afa-tsy iray ihany ny fe-potoana fiarovana ho an'ny dobo loharanon-karena iray manontolo, voaaro amin'ny sisiny switch, fa miaraka amin'ny NSX dia afaka miaro milina virtoaly misaraka amin'ny fifandraisana tsy ilaina, na dia ao anatin'ny tambajotra iray ihany aza.
Ny politikan'ny fiarovana sy ny tambajotra dia mampifanaraka raha toa ka mifindra amin'ny tambajotra hafa ny orinasa iray. Ohatra, raha mamindra milina misy angon-drakitra mankany amin'ny ampahan-tambajotra hafa isika na any amin'ny foibe data virtoaly hafa mifandray, dia mbola hihatra ny fitsipika nosoratana ho an'ity milina virtoaly ity na inona na inona toerana misy azy. Ny mpizara fampiharana dia mbola afaka mifandray amin'ny angon-drakitra.
Ny vavahady sisiny mihitsy, vCNS vShield Edge, dia nosoloina NSX Edge. Izy io dia manana ny endri-tsoratry ny Edge taloha, miampy endri-javatra mahasoa vaovao vitsivitsy. Hiresaka momba azy ireo bebe kokoa isika.
Inona no vaovao amin'ny NSX Edge?
Ny fiasa NSX Edge dia miankina amin'ny NSX. Misy dimy amin'izy ireo: Standard, Professional, Advanced, Enterprise, Plus Biraon'ny sampana lavitra. Ny zava-baovao sy mahaliana rehetra dia tsy hita afa-tsy manomboka amin'ny Advanced. Ao anatin'izany ny interface vaovao, izay, mandra-pahatongan'ny vCloud hivadika tanteraka amin'ny HTML5 (VMware mampanantena ny fahavaratra 2019), dia misokatra amin'ny tabilao vaovao.
firewall. Azonao atao ny misafidy adiresy IP, tambajotra, fifandraisana vavahady, ary milina virtoaly ho zavatra hampiharana ny fitsipika.
DHCP. Ho fanampin'ny fandrindrana ny isan'ny adiresy IP izay havoaka ho azy ho an'ny milina virtoaly amin'ity tambajotra ity, dia manana ireto fiasa manaraka ireto ny NSX Edge: mamatotra ΠΈ fampitΓ na.
Ao amin'ny tabilao Famatorana Azonao atao ny mamatotra ny adiresy MAC an'ny milina virtoaly amin'ny adiresy IP raha mila ny adiresy IP tsy hiova ianao. Ny tena zava-dehibe dia ity adiresy IP ity dia tsy tafiditra ao amin'ny DHCP Pool.
Ao amin'ny tabilao fampitΓ na Ny fampitana hafatra DHCP dia natao ho an'ny mpizara DHCP izay any ivelan'ny fikambananao ao amin'ny vCloud Director, ao anatin'izany ny mpizara DHCP amin'ny fotodrafitrasa ara-batana.
Routing. Ny vShield Edge dia tsy afaka nanamboatra lalana static ihany. Nipoitra teto ny lalana dynamic miaraka amin'ny fanohanana ny OSPF sy ny protocoles BGP. Lasa misy ihany koa ny fikandrana ECMP (Active-active), izay midika hoe failover mavitrika amin'ny router ara-batana.
Fametrahana OSPF
Fametrahana BGP
Ny zava-baovao iray hafa dia ny fametrahana ny famindrana lalana eo amin'ny protocols samihafa,
famerenan-dalana.
L4/L7 Load Balancer. X-Forwarded-For dia nampidirina ho an'ny lohatenin'ny HTTPs. Nitomany tsy nisy azy ny rehetra. Ohatra, manana tranokala ianao izay mandanjalanja. Raha tsy mandroso ity lohateny ity dia mandeha ny zava-drehetra, fa ao amin'ny antontan'isa mpizara tranonkala dia tsy hitanao ny IP an'ny mpitsidika, fa ny IP an'ny balancer. Ankehitriny dia marina ny zava-drehetra.
Ao amin'ny tabilao Application Rules ihany koa dia azonao atao ny manampy script izay hifehy mivantana ny fifandanjan'ny fifamoivoizana.
vpn. Ho fanampin'ny IPSec VPN, ny NSX Edge dia manohana:
- L2 VPN, izay ahafahanao manitatra ny tambajotra eo amin'ireo tranokala miparitaka ara-jeografika. Ny VPN toy izany dia ilaina, ohatra, ka rehefa mifindra any amin'ny tranokala hafa, ny milina virtoaly dia mijanona ao amin'ny subnet iray ary mitazona ny adiresy IP.
- SSL VPN Plus, izay ahafahan'ny mpampiasa mifandray lavitra amin'ny tambajotra orinasa. Ao amin'ny sehatra vSphere dia nisy fiasa toy izany, fa ho an'ny Tale vCloud dia fanavaozana izany.
SSL taratasy fanamarinana. Azo apetraka amin'ny NSX Edge izao ny mari-pankasitrahana. Ity indray dia tonga amin'ny fanontaniana hoe iza no mila mpifandanja tsy misy taratasy fanamarinana ho an'ny https.
Fanakambanana zavatra. Ao amin'ity tabilao ity, misy vondrona zavatra voafaritra izay hampiharana ny fitsipika momba ny fifandraisana amin'ny tambajotra, ohatra, ny fitsipiky ny firewall.
Ireo zavatra ireo dia mety ho adiresy IP sy MAC.
Misy ihany koa ny lisitry ny tolotra (protocol-port combination) sy ny fampiharana azo ampiasaina rehefa mamorona fitsipika firewall. Ny mpandrindra vavahadin-tserasera vCD ihany no afaka manampy tolotra sy fampiharana vaovao.
Statistics. Statistika fifandraisana: fifamoivoizana mandalo amin'ny vavahady, firewall ary balancer.
Sata sy antontan'isa isaky ny tonelina IPSEC VPN sy L2 VPN.
logging. Ao amin'ny tabilao Edge Settings, azonao atao ny mametraka ny mpizara ho an'ny firaketana an-tsoratra. Ny logging dia miasa ho an'ny DNAT/SNAT, DHCP, Firewall, routing, balancer, IPsec VPN, SSL VPN Plus.
Ireto karazana fanairana manaraka ireto dia misy ho an'ny zavatra/serivisy tsirairay:
β Debug
β Tandremo
βMitsikera
- Error
βFampitandremana
β Mariho
β Info
NSX Edge Dimensions
Miankina amin'ny asa voavaha sy ny habetsahan'ny VMware mamorona NSX Edge amin'ireto habe manaraka ireto:
NSX Edge
(Mitambatra)
NSX Edge
(lehibe)
NSX Edge
(Efa-lehibe)
NSX Edge
(X-lehibe)
vCPU
1
2
4
6
Memory
512MB
1GB
1GB
8GB
kapila
512MB
512MB
512MB
4.5GB + 4GB
fotoana
Iray
fampiharana, fitsapana
foibe angona
kely
na antonony
foibe angona
mavesatra
firewall
fandanjalanjana
entana amin'ny ambaratonga L7
Eo ambany latabatra ny metrika miasa amin'ny serivisy tambajotra miankina amin'ny haben'ny NSX Edge.
NSX Edge
(Mitambatra)
NSX Edge
(lehibe)
NSX Edge
(Efa-lehibe)
NSX Edge
(X-lehibe)
interface
10
10
10
10
Sobika Interfaces (Trunk)
200
200
200
200
Fitsipika NAT
2,048
4,096
4,096
8,192
ARP Entries
Mandra-panoratana
1,024
2,048
2,048
2,048
Fitsipika FW
2000
2000
2000
2000
FW Performance
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP Pools
20,000
20,000
20,000
20,000
ECMP lalana
8
8
8
8
LΓ lan-kizorana
2,048
2,048
2,048
2,048
LB Pools
64
64
64
1,024
LB Virtual Servers
64
64
64
1,024
LB Server/Pool
32
32
32
32
Fanamarinana ara-pahasalamana LB
320
320
320
3,072
Fitsipika fampiharana LB
4,096
4,096
4,096
4,096
L2VPN Client Hub mba hiresaka
5
5
5
5
L2VPN Networks isaky ny Mpanjifa/Server
200
200
200
200
IPSec Tunnels
512
1,600
4,096
6,000
SSLVPN Tunnels
50
100
100
1,000
SSLVPN Private Networks
16
16
16
16
Fivoriana miaraka
64,000
1,000,000
1,000,000
1,000,000
Sessions/Second
8,000
50,000
50,000
50,000
LB Throughput L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB Throughput L4 Mode)
6Gbps
6Gbps
6Gbps
LB Connections/s (L7 Proxy)
46,000
50,000
50,000
LB Concurrent Connections (L7 Proxy)
8,000
60,000
60,000
LB Fifandraisana/s (L4 Mode)
50,000
50,000
50,000
LB Concurrent Connections (L4 Mode)
600,000
1,000,000
1,000,000
BGP Routes
20,000
50,000
250,000
250,000
BGP mpifanolo-bodirindrina
10
20
100
100
BGP Routes nozaraina indray
Tsy misy fetra
Tsy misy fetra
Tsy misy fetra
Tsy misy fetra
OSPF Routes
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF Adjacencies
10
20
40
40
OSPF Routes Redistributed
2000
5000
20,000
20,000
Total Routes
20,000
50,000
250,000
250,000
β
Ny tabilao dia mampiseho fa asaina mandamina ny fifandanjana amin'ny NSX Edge ho an'ny toe-javatra mamokatra raha tsy manomboka amin'ny habeny lehibe.
Izay ihany no ananako androany. Amin'ireto ampahany manaraka ireto dia hojereko amin'ny antsipiriany ny fomba fanamboarana ny serivisy tambajotra NSX Edge tsirairay.
Source: www.habr.com