Хэрэв та ямар нэгэн галт хананы тохиргоог харвал бид олон тооны IP хаяг, порт, протокол, дэд сүлжээ бүхий хуудсыг харах болно. Хэрэглэгчийн нөөцөд хандах сүлжээний аюулгүй байдлын бодлогыг ингэж сонгодог байдлаар хэрэгжүүлдэг. Эхлээд тэд тохиргооны дэг журамтай байлгахыг хичээдэг боловч дараа нь ажилтнууд хэлтэсээс хэлтэс рүү шилжиж, серверүүд олширч, үүргээ сольж, өөр өөр төслүүдэд нэвтрэх эрх нь ихэвчлэн зөвшөөрөгдөөгүй газар гарч ирдэг бөгөөд олон зуун үл мэдэгдэх ямааны замууд гарч ирдэг.
Зарим дүрмийн хажууд хэрэв та азтай бол "Вася надаас үүнийг хийхийг хүссэн" эсвэл "Энэ бол DMZ-ийн хэсэг" гэсэн тайлбарууд байдаг. Сүлжээний администратор ажлаасаа гарч, бүх зүйл бүрэн тодорхойгүй болно. Дараа нь хэн нэгэн Васягийн тохиргоог арилгахаар шийдсэн бөгөөд SAP нь сүйрсэн, учир нь Вася нэг удаа байлдааны SAP ажиллуулахын тулд энэ хандалтыг хүссэн.
Өнөөдөр би галт ханын тохиргоонд төөрөгдөлгүйгээр сүлжээний харилцаа холбоо, аюулгүй байдлын бодлогыг нарийн хэрэгжүүлэхэд тусалдаг VMware NSX шийдлийн талаар ярих болно. Энэ хэсэгт өмнө нь VMware байсантай харьцуулахад ямар шинэ боломжууд гарч ирснийг би танд үзүүлэх болно.
VMWare NSX нь сүлжээний үйлчилгээний виртуалчлал, аюулгүй байдлын платформ юм. NSX нь чиглүүлэлт, шилжих, ачааллыг тэнцвэржүүлэх, галт хана зэрэг асуудлуудыг шийдэж, бусад олон сонирхолтой зүйлийг хийх боломжтой.
NSX нь VMware-ийн өөрийн vCloud Networking and Security (vCNS) бүтээгдэхүүн болон олж авсан Nicira NVP-ийн залгамжлагч юм.
vCNS-ээс NSX хүртэл
Өмнө нь үйлчлүүлэгч VMware vCloud дээр суурилуулсан үүлэн доторх тусдаа vCNS vShield Edge виртуал машинтай байсан. Энэ нь NAT, DHCP, Firewall, VPN, ачааллыг тэнцвэржүүлэгч гэх мэт олон сүлжээний функцийг тохируулах боломжтой захын гарц болж үйлчилсэн. vShield Edge нь виртуал машиныг гадаад ертөнцтэй харилцах харилцааг дүрэмд заасан дүрмийн дагуу хязгаарласан. Галт хана ба NAT. Сүлжээнд виртуал машинууд дэд сүлжээнд чөлөөтэй харилцдаг. Хэрэв та траффикийг үнэхээр хувааж, байлдан дагуулахыг хүсч байвал програмын тусдаа хэсгүүдэд (өөр өөр виртуал машинууд) зориулж тусдаа сүлжээ үүсгэж, тэдгээрийн сүлжээний харилцан үйлчлэлийн зохих дүрмийг галт хананд тохируулж болно. Гэхдээ энэ нь урт, хэцүү, сонирхолгүй, ялангуяа хэдэн арван виртуал машинтай бол.
NSX-д VMware нь гипервизорын цөмд суурилуулсан тархсан галт ханыг ашиглан бичил сегментчлэлийн үзэл баримтлалыг хэрэгжүүлсэн. Энэ нь зөвхөн IP болон MAC хаягууд төдийгүй виртуал машин, программ зэрэг бусад объектуудын аюулгүй байдал, сүлжээний харилцан үйлчлэлийн бодлогыг тодорхойлдог. Хэрэв NSX нь байгууллага дотор байрлуулсан бол эдгээр объектууд нь Active Directory-ийн хэрэглэгч эсвэл бүлэг хэрэглэгчид байж болно. Ийм объект бүр өөрийн аюулгүй байдлын гогцоонд, шаардлагатай дэд сүлжээнд, өөрийн тухтай DMZ бүхий микросегмент болж хувирдаг :).
Өмнө нь захын шилжүүлэгчээр хамгаалагдсан нөөцийн бүх нөөцийн хувьд зөвхөн нэг хамгаалалтын периметр байсан бол NSX-ийн тусламжтайгаар та тусдаа виртуал машиныг нэг сүлжээн доторх шаардлагагүй харилцан үйлдлээс хамгаалах боломжтой.
Аж ахуйн нэгж өөр сүлжээнд шилжсэн тохиолдолд аюулгүй байдал болон сүлжээний бодлого дасан зохицдог. Жишээлбэл, хэрэв бид мэдээллийн сантай машиныг өөр сүлжээний сегмент рүү эсвэл өөр холбогдсон виртуал өгөгдлийн төв рүү шилжүүлэх юм бол энэ виртуал машинд зориулж бичсэн дүрэм шинэ байршлаас үл хамааран хэрэгжинэ. Програмын сервер нь мэдээллийн сантай холбогдох боломжтой хэвээр байх болно.
Edge гарц нь өөрөө vCNS vShield Edge-ийг NSX Edge-ээр сольсон. Энэ нь хуучин Edge-ийн бүх эрхэмсэг шинж чанартай, мөн хэд хэдэн шинэ ашигтай функцуудтай. Бид тэдний талаар цаашид ярих болно.
NSX Edge-ийн шинэ зүйл юу вэ?
NSX Edge функц нь үүнээс хамаарна
Галт хана. Дүрмийг хэрэгжүүлэх объект болгон та IP хаяг, сүлжээ, гарцын интерфейс, виртуал машиныг сонгож болно.
DHCP. Энэ сүлжээн дэх виртуал машинуудад автоматаар олгох IP хаягийн хүрээг тохируулахаас гадна NSX Edge нь одоо дараах функцуудтай. Binding и Рела.
Таб дотор Бэхжүүлэх Хэрэв танд IP хаягийг өөрчлөхгүй байх шаардлагатай бол виртуал машины MAC хаягийг IP хаягтай холбож болно. Хамгийн гол нь энэ IP хаяг нь DHCP Pool-д ороогүй болно.
Таб дотор Рела DHCP мессежийн дамжуулалтыг vCloud Director-т танай байгууллагаас гадуур байрлах DHCP серверүүд, түүний дотор физик дэд бүтцийн DHCP серверүүдээр тохируулсан.
Чиглүүлэлт. vShield Edge нь зөвхөн статик чиглүүлэлт хийх боломжтой. OSPF болон BGP протоколуудыг дэмждэг динамик чиглүүлэлт энд гарч ирэв. ECMP (Идэвхтэй-идэвхтэй) тохиргоонууд бас боломжтой болсон бөгөөд энэ нь физик чиглүүлэгчид идэвхтэй-идэвхтэй шилжүүлэг гэсэн үг юм.
OSPF тохируулж байна
BGP тохируулж байна
Өөр нэг шинэ зүйл бол өөр өөр протоколуудын хооронд маршрутыг шилжүүлэх явдал юм.
маршрутын дахин хуваарилалт.
L4/L7 Ачаалал тэнцвэржүүлэгч. X-Forwarded-For нь HTTP-ийн толгой хэсэгт зориулагдсан. Түүнгүйгээр бүгд уйлсан. Жишээлбэл, та тэнцвэржүүлж байгаа вэбсайттай. Энэ толгойг дамжуулахгүйгээр бүх зүйл ажилладаг, гэхдээ вэб серверийн статистикт та зочдын IP биш харин тэнцвэржүүлэгчийн IP-г харсан. Одоо бүх зүйл зөв болсон.
Мөн "Програмын дүрмүүд" таб дээр та замын хөдөлгөөний тэнцвэрийг шууд хянах скриптүүдийг нэмж болно.
VPN дугаар. IPSec VPN-ээс гадна NSX Edge нь дараахь зүйлийг дэмждэг.
- L2 VPN нь газарзүйн хувьд тархсан сайтуудын хооронд сүлжээг сунгах боломжийг олгодог. Жишээлбэл, өөр сайт руу шилжих үед виртуал машин ижил дэд сүлжээнд үлдэж, IP хаягаа хадгалахын тулд ийм VPN хэрэгтэй.
- SSL VPN Plus нь хэрэглэгчдэд корпорацийн сүлжээнд алсаас холбогдох боломжийг олгодог. VSphere түвшинд ийм функц байсан боловч vCloud Director-ийн хувьд энэ нь шинэлэг зүйл юм.
SSL сертификатууд. Одоо NSX Edge дээр гэрчилгээ суулгах боломжтой. https-ийн гэрчилгээгүй тэнцвэржүүлэгч хэнд хэрэгтэй байсан вэ гэсэн асуулт дахин гарч ирнэ.
Объектуудыг бүлэглэх. Энэ таб дээр та сүлжээний харилцан үйлчлэлийн тодорхой дүрэм, тухайлбал галт ханын дүрмүүд хамаарах объектуудын бүлгийг зааж өгнө.
Эдгээр объектууд нь IP болон MAC хаягууд байж болно.
Мөн галт ханын дүрмийг бий болгоход ашиглаж болох үйлчилгээ (протокол-портын хослол) болон програмуудын жагсаалт байдаг. Зөвхөн vCD порталын админ шинэ үйлчилгээ, програм нэмэх боломжтой.
Статистик. Холболтын статистик: гарц, галт хана, тэнцвэржүүлэгчээр дамжин өнгөрөх урсгал.
IPSEC VPN ба L2 VPN туннель бүрийн статус, статистик.
Мод бэлтгэх. Edge Settings таб дээрээс та бүртгэл бичих серверийг тохируулж болно. Бүртгэл нь DNAT/SNAT, DHCP, Галт хана, чиглүүлэлт, тэнцвэржүүлэгч, IPsec VPN, SSL VPN Plus зэрэгт ажилладаг.
Объект/үйлчилгээ тус бүрт дараах төрлийн сэрэмжлүүлэг байдаг.
- Дибаг хийх
- Анхааруулга
-Шүүмжтэй
- Алдаа
- Анхааруулга
- Анхаар
-Мэдээлэл
NSX ирмэгийн хэмжээс
Шийдвэрлэж буй ажлууд болон VMware-ийн хэмжээнээс хамаарна
NSX Edge
(Авсаархан)
NSX Edge
(Том)
NSX Edge
(Дөрвөн том)
NSX Edge
(X-Том)
vCPU
1
2
4
6
Санах ойн
512MB
1GB
1GB
8GB
диск
512MB
512MB
512MB
4.5GB + 4GB
Захиалга
Нэг зүйл
програм, туршилт
мэдээллийн төв
Жижиг
эсвэл дундаж
мэдээллийн төв
Ачаалагдсан
галт хана
Тэнцвэржүүлэх
L7 түвшний ачаалал
Хүснэгтийн доор NSX Edge-ийн хэмжээнээс хамаарч сүлжээний үйлчилгээний үйл ажиллагааны хэмжүүрүүдийг харуулав.
NSX Edge
(Авсаархан)
NSX Edge
(Том)
NSX Edge
(Дөрвөн том)
NSX Edge
(X-Том)
интерфэйсүүд
10
10
10
10
Дэд интерфейс (Их бие)
200
200
200
200
NAT дүрмүүд
2,048
4,096
4,096
8,192
ARP оруулгууд
Дарж бичих хүртэл
1,024
2,048
2,048
2,048
FW дүрэм
2000
2000
2000
2000
FW гүйцэтгэл
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP усан сангууд
20,000
20,000
20,000
20,000
ECMP замууд
8
8
8
8
Статик маршрутууд
2,048
2,048
2,048
2,048
LB усан сан
64
64
64
1,024
LB виртуал серверүүд
64
64
64
1,024
LB сервер/цөөрөм
32
32
32
32
LB эрүүл мэндийн үзлэг
320
320
320
3,072
LB програмын дүрэм
4,096
4,096
4,096
4,096
L2VPN Clients Hub to Spoke
5
5
5
5
Үйлчлүүлэгч/сервер бүрийн L2VPN сүлжээ
200
200
200
200
IPSec туннель
512
1,600
4,096
6,000
SSLVPN хонгилууд
50
100
100
1,000
SSLVPN хувийн сүлжээ
16
16
16
16
Зэрэгцээ хуралдаанууд
64,000
1,000,000
1,000,000
1,000,000
Сессия/Хоёр дахь
8,000
50,000
50,000
50,000
LB Throughput L7 прокси)
2.2Gbps
2.2Gbps
3Gbps
LB дамжуулалтын L4 горим)
6Gbps
6Gbps
6Gbps
LB холболтууд (L7 прокси)
46,000
50,000
50,000
LB зэрэгцээ холболтууд (L7 прокси)
8,000
60,000
60,000
LB холболт/с (L4 горим)
50,000
50,000
50,000
LB зэрэгцээ холболтууд (L4 горим)
600,000
1,000,000
1,000,000
BGP маршрутууд
20,000
50,000
250,000
250,000
BGP хөршүүд
10
20
100
100
BGP маршрутуудыг дахин хуваарилав
Хязгааргүй
Хязгааргүй
Хязгааргүй
Хязгааргүй
OSPF маршрутууд
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF зэргэлдээ
10
20
40
40
OSPF маршрутуудыг дахин хуваарилав
2000
5000
20,000
20,000
Нийт маршрут
20,000
50,000
250,000
250,000
Хүснэгтээс харахад зөвхөн том хэмжээнээс эхлэн бүтээмжтэй хувилбаруудын хувьд NSX Edge дээр тэнцвэржүүлэх ажлыг зохион байгуулахыг зөвлөж байна.
Энэ бол өнөөдрийн надад байгаа зүйл. Дараах хэсгүүдэд би NSX Edge сүлжээний үйлчилгээг хэрхэн тохируулах талаар дэлгэрэнгүй үзэх болно.
Эх сурвалж: www.habr.com