မည်သည့် firewall ၏ config ကိုကြည့်လျှင် IP လိပ်စာများ၊ ports များ၊ protocol နှင့် subnets အများအပြားပါရှိသောစာရွက်ကိုကျွန်ုပ်တို့မြင်ရလိမ့်မည်။ ဤသည်မှာ အရင်းအမြစ်များသို့ အသုံးပြုသူဝင်ရောက်ခွင့်အတွက် ကွန်ရက်လုံခြုံရေးမူဝါဒများကို ရှေးရိုးအတိုင်း အကောင်အထည်ဖော်ပုံဖြစ်သည်။ အစပိုင်းတွင် ၎င်းတို့သည် config တွင် စနစ်တကျ ထိန်းသိမ်းရန် ကြိုးစားသော်လည်း၊ ထို့နောက် ဝန်ထမ်းများသည် ဌာနတစ်ခုမှ ဌာနတစ်ခုသို့ ပြောင်းရွှေ့လာကြပြီး၊ ဆာဗာများသည် ၎င်းတို့၏ အခန်းကဏ္ဍများ များပြားလာပြီး ၎င်းတို့၏ အခန်းကဏ္ဍများကို ပြောင်းလဲကာ၊ အများအားဖြင့် ခွင့်မပြုသော နေရာများသို့ အမျိုးမျိုးသော ပရောဂျက်များကို ဝင်ရောက်ကြည့်ရှုခွင့် ပေါ်လာပြီး ရာနှင့်ချီသော အမည်မသိ ဆိတ်လမ်းကြောင်းများ ထွက်ပေါ်လာသည်။ .
အချို့သောစည်းမျဉ်းများနောက်တွင်၊ သင်သည်ကံကောင်းပါက၊ "Vasya ကငါ့ကိုဒီလိုလုပ်ဖို့တောင်းဆိုခဲ့တယ်" သို့မဟုတ် "ဒါက DMZ ကိုဖြတ်သန်းရန်" မှတ်ချက်များရှိသည်။ ကွန်ရက်စီမံခန့်ခွဲသူက နှုတ်ထွက်သွားပြီး အရာအားလုံး လုံးဝရှင်းလင်းသွားပါသည်။ ထို့နောက် တစ်စုံတစ်ယောက်သည် Vasya ၏ config ကိုရှင်းလင်းရန် ဆုံးဖြတ်ခဲ့ပြီး SAP သည် တစ်ချိန်က တိုက်ခိုက်ရေး SAP ကို run ရန် ဤဝင်ရောက်ခွင့်ကို Vasya က တောင်းဆိုသောကြောင့် SAP ပျက်သွားသည်။
ယနေ့ကျွန်ုပ်သည် firewall configs တွင်ရှုပ်ထွေးမှုမရှိဘဲကွန်ရက်ဆက်သွယ်မှုနှင့်လုံခြုံရေးမူဝါဒများကိုတိကျစွာအသုံးချရန်ကူညီပေးသည့် VMware NSX ဖြေရှင်းချက်အကြောင်းပြောပါမည်။ ဤအပိုင်းတွင် ယခင်က VMware နှင့် နှိုင်းယှဉ်ပါက မည်သို့သော ဝန်ဆောင်မှုအသစ်များ ပေါ်လာသည်ကို သင့်အား ပြသပါမည်။
VMWare NSX သည် ကွန်ရက်ဝန်ဆောင်မှုများအတွက် virtualization နှင့် security platform တစ်ခုဖြစ်သည်။ NSX သည် routing၊ switching၊ load balancing၊ firewall ၏ ပြဿနာများကို ဖြေရှင်းပေးပြီး အခြားသော စိတ်ဝင်စားစရာများစွာကို လုပ်ဆောင်နိုင်သည်။
NSX သည် VMware ၏ ကိုယ်ပိုင် vCloud Networking and Security (vCNS) ထုတ်ကုန်နှင့် ဝယ်ယူထားသော Nicira NVP ၏ ဆက်ခံသူဖြစ်သည်။
vCNS မှ NSX သို့
ယခင်က၊ သုံးစွဲသူတစ်ဦးသည် VMware vCloud ပေါ်တွင်တည်ဆောက်ထားသော cloud တွင် သီးခြား vCNS vShield Edge virtual machine တစ်ခုရှိခဲ့သည်။ NAT၊ DHCP၊ Firewall၊ VPN၊ load balancer စသည်ဖြင့် ကွန်ရက်လုပ်ဆောင်ချက်များစွာကို ပြင်ဆင်သတ်မှတ်နိုင်သည့် နယ်စပ်ဝင်ပေါက်တစ်ခုအဖြစ် လုပ်ဆောင်ခဲ့သည်။ vShield Edge သည် သတ်မှတ်ထားသည့် စည်းမျဉ်းများနှင့်အညီ virtual machine ၏ ပြင်ပကမ္ဘာနှင့် အပြန်အလှန်ဆက်သွယ်မှုကို ကန့်သတ်ထားသည်။ Firewall နှင့် NAT။ ကွန်ရက်အတွင်း၊ ကွန်ရက်ခွဲများအတွင်း အချင်းချင်း လွတ်လွတ်လပ်လပ် ချိတ်ဆက်ထားသော virtual machines များ။ အကယ်၍ သင်သည် အသွားအလာကို အမှန်တကယ် ပိုင်းခြားပြီး အနိုင်ယူလိုပါက၊ သင်သည် အပလီကေးရှင်းများ၏ အစိတ်အပိုင်းတစ်ခုစီအတွက် သီးခြားကွန်ရက်တစ်ခု (ကွဲပြားခြားနားသော virtual machines) တစ်ခု ပြုလုပ်နိုင်ပြီး firewall တွင် ၎င်းတို့၏ ကွန်ရက် အပြန်အလှန်တုံ့ပြန်မှုအတွက် သင့်လျော်သော စည်းမျဉ်းများကို သတ်မှတ်နိုင်သည်။ သို့သော် ၎င်းသည် ရှည်လျား၊ ခက်ခဲပြီး စိတ်ဝင်စားစရာမရှိပါ၊ အထူးသဖြင့် သင့်တွင် ဒါဇင်များစွာသော virtual machines များရှိသည့်အခါမျိုးဖြစ်သည်။
NSX တွင်၊ VMware သည် hypervisor kernel တွင် တည်ဆောက်ထားသော ဖြန့်ဝေထားသော firewall ကို အသုံးပြု၍ micro-segmentation သဘောတရားကို အကောင်အထည်ဖော်ခဲ့သည်။ ၎င်းသည် IP နှင့် MAC လိပ်စာများအတွက်သာမက အခြားအရာဝတ္ထုများအတွက်လည်း လုံခြုံရေးနှင့် ကွန်ရက် အပြန်အလှန်ဆက်သွယ်မှုမူဝါဒများကို သတ်မှတ်ပေးသည်- virtual machines၊ applications များ။ NSX ကို အဖွဲ့အစည်းတစ်ခုအတွင်း အသုံးချပါက၊ ဤအရာဝတ္ထုများသည် အသုံးပြုသူ သို့မဟုတ် Active Directory မှ အသုံးပြုသူများအုပ်စု ဖြစ်နိုင်သည်။ ယင်းအရာဝတ္ထုတစ်ခုစီသည် ၎င်း၏ကိုယ်ပိုင် DMZ ဖြင့် လိုအပ်သော subnet တွင် ၎င်း၏ကိုယ်ပိုင်လုံခြုံရေးကွင်းငယ်ရှိ microsegment အဖြစ်သို့ ပြောင်းလဲသွားပါသည်။
ယခင်က၊ edge switch ဖြင့်ကာကွယ်ထားသော အရင်းအမြစ်စုကြီးတစ်ခုလုံးအတွက် လုံခြုံရေးအတိုင်းအတာတစ်ခုသာရှိသော်လည်း NSX ဖြင့် သင်သည် ကွန်ရက်တစ်ခုတည်းတွင်ပင် မလိုအပ်သော အပြန်အလှန်တုံ့ပြန်မှုများမှ သီးခြား virtual machine တစ်ခုကို ကာကွယ်နိုင်သည်။
အဖွဲ့အစည်းတစ်ခုမှ အခြားကွန်ရက်တစ်ခုသို့ ပြောင်းရွှေ့ပါက လုံခြုံရေးနှင့် ကွန်ရက်မူဝါဒများ လိုက်လျောညီထွေဖြစ်စေသည်။ ဥပမာအားဖြင့်၊ ကျွန်ုပ်တို့သည် ဒေတာဘေ့စ်ပါသည့် စက်ကို အခြားကွန်ရက် အပိုင်းသို့ သို့မဟုတ် အခြားချိတ်ဆက်ထားသော virtual ဒေတာစင်တာသို့ပင် ရွှေ့ပါက၊ ဤ virtual machine အတွက် ရေးသားထားသော စည်းမျဉ်းများသည် ၎င်း၏တည်နေရာအသစ် မည်သို့ပင်ရှိစေကာမူ ဆက်လက်သက်ရောက်မည်ဖြစ်သည်။ အပလီကေးရှင်းဆာဗာသည် ဒေတာဘေ့စ်နှင့် ဆက်သွယ်နိုင်ဆဲဖြစ်သည်။
edge gateway ကိုယ်တိုင်၊ vCNS vShield Edge ကို NSX Edge ဖြင့် အစားထိုးထားသည်။ ၎င်းတွင် Edge ဟောင်း၏ နူးညံ့သိမ်မွေ့သောအင်္ဂါရပ်များအပြင် အသုံးဝင်သောအင်္ဂါရပ်အသစ်များပါရှိသည်။ သူတို့အကြောင်း ဆက်ပြောမယ်။
NSX Edge မှာ ဘာတွေ အသစ်လဲ ?
NSX Edge ၏လုပ်ဆောင်နိုင်စွမ်းပေါ်တွင်မူတည်သည်။ NSX ၎င်းတို့ထဲမှ ငါးခုရှိသည်- Standard၊ Professional၊ Advanced၊ Enterprise၊ Plus Remote Branch Office။ အသစ်အဆန်းများနှင့် စိတ်ဝင်စားစရာကောင်းသည့်အရာအားလုံးကို Advanced ဖြင့် စတင်မြင်နိုင်ပါသည်။ vCloud သည် HTML5 (VMware မှ နွေရာသီ 2019 နွေရာသီကို ကတိပြုသည်) တွင် တက်ဘ်အသစ်တစ်ခုဖွင့်သည့်တိုင်အောင် vCloud မှ လုံးဝပြောင်းသွားသည့် မျက်နှာပြင်အသစ်တစ်ခု ပါဝင်ပါသည်။
Firewall သင်သည် IP လိပ်စာများ၊ ကွန်ရက်များ၊ ဂိတ်ဝေးအင်တာဖေ့စ်များနှင့် စည်းမျဉ်းများကို အသုံးပြုမည့် အရာဝတ္ထုများအဖြစ် သင်ရွေးချယ်နိုင်သည်။
DHCP ။ ဤကွန်ရက်ပေါ်ရှိ virtual machines များသို့ အလိုအလျောက်ထုတ်ပေးမည့် IP လိပ်စာများ၏ အကွာအဝေးကို ပြင်ဆင်သတ်မှတ်ခြင်းအပြင် NSX Edge တွင် ယခု အောက်ပါလုပ်ဆောင်ချက်များ ရှိပါသည်။ binding и relay.
tab မှာ ချည်နှောင်ခြင်း။ အကယ်၍ သင်သည် IP လိပ်စာကို ပြောင်းလဲရန်မလိုအပ်ပါက virtual machine တစ်ခု၏ MAC လိပ်စာကို IP လိပ်စာတစ်ခုသို့ ချည်နှောင်နိုင်သည်။ အဓိကအချက်မှာ ဤ IP လိပ်စာသည် DHCP Pool တွင်မပါဝင်ပါ။
tab မှာ relay DHCP မက်ဆေ့ဂျ်များ၏ ထပ်ဆင့်ပို့ခြင်းကို ရုပ်ပိုင်းဆိုင်ရာအခြေခံအဆောက်အအုံ၏ DHCP ဆာဗာများအပါအဝင် vCloud ဒါရိုက်တာရှိ သင့်အဖွဲ့အစည်းအပြင်ဘက်တွင်ရှိသော DHCP ဆာဗာများသို့ စီစဉ်သတ်မှတ်ထားပါသည်။
လမ်းကြောင်းပေး။ vShield Edge သည် static routing ကိုသာ configure လုပ်နိုင်သည်။ OSPF နှင့် BGP ပရိုတိုကောများအတွက် ပံ့ပိုးမှုဖြင့် လှုပ်ရှားနေသောလမ်းကြောင်းကို ဤနေရာတွင် ပေါ်လာသည်။ ECMP (Active-active) ဆက်တင်များလည်း ရနိုင်ပြီဖြစ်ပြီး၊ ဆိုလိုသည်မှာ ရုပ်ပိုင်းဆိုင်ရာရောက်တာများအတွက် တက်ကြွသော-တက်ကြွမှု ပျက်ကွက်ခြင်းကို ဆိုလိုသည်။
OSPF စနစ်ထည့်သွင်းခြင်း။
BGP စနစ်ထည့်သွင်းခြင်း။
နောက်ထပ်အသစ်တစ်ခုကတော့ မတူညီတဲ့ protocols တွေကြားက လမ်းကြောင်းတွေကို လွှဲပြောင်းသတ်မှတ်ခြင်း၊
လမ်းကြောင်းပြန်လည်ဖြန့်ဖြူးခြင်း။
L4/L7 Load Balancer X-Forwarded-For ကို HTTPs ခေါင်းစီးအတွက် မိတ်ဆက်ပေးခဲ့သည်။ လူတိုင်းက သူ့မပါဘဲ ငိုကြတယ်။ ဥပမာ၊ သင့်တွင် ဟန်ချက်ညီသော ဝဘ်ဆိုဒ်တစ်ခုရှိသည်။ ဤခေါင်းစီးကို ထပ်ဆင့်မပို့ဘဲ၊ အရာအားလုံးသည် အလုပ်လုပ်သည်၊ သို့သော် ဝဘ်ဆာဗာစာရင်းအင်းများတွင် ဧည့်သည်များ၏ IP ကို သင်မတွေ့ခဲ့ရဘဲ ဟန်ချက်ညီသူ၏ IP ဖြစ်သည်။ အခုတော့ အားလုံးမှန်ပါတယ်။
အပလီကေးရှင်း စည်းကမ်းများ တက်ဘ်တွင်လည်း သင်သည် ယာဉ်အသွားအလာ ချိန်ခွင်လျှာကို တိုက်ရိုက်ထိန်းချုပ်မည့် script များကို ယခု ထည့်သွင်းနိုင်ပါပြီ။
VPN ။ IPSec VPN အပြင် NSX Edge သည်-
- ပထဝီဝင်အရ ပြန့်ကျဲနေသော ဆိုက်များကြားတွင် ကွန်ရက်များကို ဆွဲဆန့်နိုင်စေသည့် L2 VPN။ ဥပမာအားဖြင့်၊ အခြားဆိုက်တစ်ခုသို့ ပြောင်းရွှေ့သည့်အခါ၊ virtual machine သည် တူညီသော subnet တွင်ရှိနေကာ ၎င်း၏ IP လိပ်စာကို ဆက်လက်ထိန်းသိမ်းထားနိုင်ရန် ထိုသို့သော VPN လိုအပ်ပါသည်။
- အသုံးပြုသူများကို ကော်ပိုရိတ်ကွန်ရက်တစ်ခုသို့ အဝေးမှ ချိတ်ဆက်ခွင့်ပြုသည့် SSL VPN Plus။ vSphere အဆင့်တွင် ထိုသို့သောလုပ်ဆောင်ချက်တစ်ခုရှိသော်လည်း vCloud ဒါရိုက်တာအတွက် ၎င်းသည် ဆန်းသစ်တီထွင်မှုတစ်ခုဖြစ်သည်။
SSL လက်မှတ်များ။ လက်မှတ်များကို NSX Edge တွင် တပ်ဆင်နိုင်ပါပြီ။ ၎င်းသည် https အတွက် လက်မှတ်မပါဘဲ ချိန်ခွင်လျှာလိုအပ်သူ၏ မေးခွန်းကို ထပ်မံရောက်ရှိလာသည်။
အရာဝတ္ထုများကို အုပ်စုဖွဲ့ခြင်း။ ဤတက်ဘ်တွင်၊ အချို့သောကွန်ရက် အပြန်အလှန်တုံ့ပြန်မှုစည်းမျဉ်းများ ဥပမာ၊ firewall စည်းမျဉ်းများကို အသုံးပြုမည့် အရာဝတ္ထုအုပ်စုများကို သတ်မှတ်ထားသည်။
ဤအရာဝတ္ထုများသည် IP နှင့် MAC လိပ်စာများ ဖြစ်နိုင်သည်။
Firewall စည်းမျဉ်းများဖန်တီးရာတွင် အသုံးပြုနိုင်သည့် ဝန်ဆောင်မှုများ (protocol-port ပေါင်းစပ်မှု) နှင့် အပလီကေးရှင်းများစာရင်းလည်း ရှိပါသည်။ vCD ပေါ်တယ်စီမံခန့်ခွဲသူသာလျှင် ဝန်ဆောင်မှုအသစ်များနှင့် အက်ပ်လီကေးရှင်းများကို ထည့်သွင်းနိုင်သည်။
စာရင်းအင်းများ။ ချိတ်ဆက်မှုစာရင်းအင်းများ- ဂိတ်ဝေး၊ firewall နှင့် balancer မှတဆင့်ဖြတ်သန်းသောလမ်းကြောင်း။
IPSEC VPN နှင့် L2 VPN ဥမင်တစ်ခုစီအတွက် အခြေအနေနှင့် စာရင်းဇယားများ။
သစ်ခုတ်ခြင်း။ Edge ဆက်တင်များတက်ဘ်တွင်၊ မှတ်တမ်းများမှတ်တမ်းတင်ရန်အတွက် ဆာဗာကို သင်သတ်မှတ်နိုင်သည်။ မှတ်တမ်းသွင်းခြင်းသည် DNAT/SNAT၊ DHCP၊ Firewall၊ လမ်းကြောင်းပြခြင်း၊ ချိန်ခွင်လျှာ၊ IPsec VPN၊ SSL VPN Plus အတွက် အလုပ်လုပ်သည်။
အရာဝတ္ထု/ဝန်ဆောင်မှုတစ်ခုစီအတွက် အောက်ပါသတိပေးချက်အမျိုးအစားများကို ရနိုင်သည်-
- အမှားအယွင်း
-သတိပေးချက်
- ဝေဖန်ပိုင်းခြားပါ။
- အမှား
- သတိပေးချက်
- အသိပေးစာ
- အချက်အလက်
NSX Edge Dimensions
ဖြေရှင်းဆောင်ရွက်နေသော အလုပ်များနှင့် VMware ပမာဏအပေါ် မူတည်သည်။ NSX Edge ကို အောက်ပါအရွယ်အစားများဖြင့် ဖန်တီးပါ။
NSX Edge
(ကျစ်လျစ်သော)
NSX Edge
(ကြီး)
NSX Edge
(လေးထောင့်ကျယ်)
NSX Edge
(X-ကြီး)
vCPU
1
2
4
6
မှတ်ဉာဏ်
512MB
1GB
1GB
8GB
disk ကို
512MB
512MB
512MB
4.5GB + 4GB
ရက်ချိန်း
တစ်မျိုး
လျှောက်လွှာ၊ စမ်းသပ်
ဒေတာစင်တာ
သေးငယ်သည်
သို့မဟုတ် ပျမ်းမျှ
ဒေတာစင်တာ
ဘဝတူ
firewall
balancing
အဆင့် L7 မှာ တင်ပါတယ်။
အောက်တွင်ဖော်ပြထားသောဇယားတွင် NSX Edge အရွယ်အစားပေါ် မူတည်၍ ကွန်ရက်ဝန်ဆောင်မှုများ၏လည်ပတ်မှုမက်ထရစ်များဖြစ်သည်။
NSX Edge
(ကျစ်လျစ်သော)
NSX Edge
(ကြီး)
NSX Edge
(လေးထောင့်ကျယ်)
NSX Edge
(X-ကြီး)
interfaces
10
10
10
10
မျက်နှာပြင်ခွဲများ (နှာမောင်း)
200
200
200
200
NAT စည်းမျဉ်းများ
2,048
4,096
4,096
8,192
ARP ထည့်သွင်းမှုများ
Overwrite အထိ
1,024
2,048
2,048
2,048
FW စည်းမျဉ်းများ
2000
2000
2000
2000
FW စွမ်းဆောင်ရည်
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP ရေကန်များ
20,000
20,000
20,000
20,000
ECMP လမ်းကြောင်းများ
8
8
8
8
တည်ငြိမ်သောလမ်းကြောင်းများ
2,048
2,048
2,048
2,048
LB Pools
64
64
64
1,024
LB Virtual ဆာဗာများ
64
64
64
1,024
LB ဆာဗာ/ရေကန်
32
32
32
32
LB ကျန်းမာရေးစစ်ဆေးမှုများ
320
320
320
3,072
LB လျှောက်လွှာစည်းမျဉ်းများ
4,096
4,096
4,096
4,096
စကားပြောရန် L2VPN ဖောက်သည်များဗဟို
5
5
5
5
Client/Server တစ်ခုစီတွင် L2VPN ကွန်ရက်များ
200
200
200
200
IPSec ဥမင်များ
512
1,600
4,096
6,000
SSLVPN ဥမင်များ
50
100
100
1,000
SSLVPN သီးသန့်ကွန်ရက်များ
16
16
16
16
ပြိုင်တူ ဆက်ရှင်များ
64,000
1,000,000
1,000,000
1,000,000
ဆက်ရှင်များ/စက္ကန့်
8,000
50,000
50,000
50,000
LB Throughput L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB ဖြတ်သန်းမှု L4 မုဒ်)
6Gbps
6Gbps
6Gbps
LB ချိတ်ဆက်မှုများ/s (L7 ပရောက်စီ)
46,000
50,000
50,000
LB ပြိုင်တူချိတ်ဆက်မှုများ (L7 ပရောက်စီ)
8,000
60,000
60,000
LB ချိတ်ဆက်မှုများ/s (L4 မုဒ်)
50,000
50,000
50,000
LB ပြိုင်တူချိတ်ဆက်မှုများ (L4 မုဒ်)
600,000
1,000,000
1,000,000
BGP လမ်းကြောင်းများ
20,000
50,000
250,000
250,000
BGP အိမ်နီးချင်းများ
10
20
100
100
BGP လမ်းကြောင်းများ ပြန်လည်ဖြန့်ဝေထားသည်။
အကန့်အသတ်မရှိ
အကန့်အသတ်မရှိ
အကန့်အသတ်မရှိ
အကန့်အသတ်မရှိ
OSPF လမ်းကြောင်းများ
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF Adjacencies
10
20
40
40
OSPF လမ်းကြောင်းများ ပြန်လည်ဖြန့်ဝေထားသည်။
2000
5000
20,000
20,000
စုစုပေါင်းလမ်းကြောင်းများ
20,000
50,000
250,000
250,000
→
ကြီးမားသောအရွယ်အစားမှစတင်၍ ထုတ်လုပ်နိုင်သောအခြေအနေများအတွက် NSX Edge တွင် ချိန်ခွင်လျှာညှိရန် အကြံပြုထားကြောင်း ဇယားတွင်ပြသထားသည်။
ဒီနေ့အတွက် ဒါပဲနော်။ အောက်ပါအပိုင်းများတွင် NSX Edge ကွန်ရက်ဝန်ဆောင်မှုတစ်ခုစီကို မည်သို့ configure လုပ်ရမည်ကို အသေးစိတ်ဖော်ပြပါမည်။
source: www.habr.com