यदि तपाइँ कुनै पनि फायरवालको कन्फिगरेसन हेर्नुहुन्छ भने, त्यसपछि सम्भवतः हामीले IP ठेगानाहरू, पोर्टहरू, प्रोटोकलहरू र सबनेटहरूको गुच्छाको साथ पाना देख्नेछौं। यसरी स्रोतहरूमा प्रयोगकर्ता पहुँचको लागि नेटवर्क सुरक्षा नीतिहरू शास्त्रीय रूपमा लागू गरिन्छ। सुरुमा तिनीहरूले कन्फिगरेसनमा क्रम कायम राख्न प्रयास गर्छन्, तर त्यसपछि कर्मचारीहरू विभागबाट विभागमा जान थाल्छन्, सर्भरहरू गुणा हुन्छन् र तिनीहरूको भूमिका परिवर्तन हुन्छन्, विभिन्न परियोजनाहरूको पहुँच देखा पर्दछ जहाँ उनीहरूलाई सामान्यतया अनुमति छैन, र सयौं अज्ञात बाख्रा मार्गहरू देखा पर्छन्।
केही नियमहरूको छेउमा, यदि तपाईं भाग्यशाली हुनुहुन्छ भने, त्यहाँ टिप्पणीहरू छन् "वास्याले मलाई यो गर्न भन्नुभयो" वा "यो DMZ को लागि एउटा खण्ड हो।" नेटवर्क प्रशासकले छोड्छ, र सबै कुरा पूर्ण रूपमा अस्पष्ट हुन्छ। त्यसपछि कसैले Vasya को कन्फिगरेसन खाली गर्ने निर्णय गर्यो, र SAP क्र्यास भयो, किनभने Vasya ले एक पटक लडाई SAP चलाउन यो पहुँचको लागि सोध्यो।
आज म VMware NSX समाधानको बारेमा कुरा गर्नेछु, जसले फायरवाल कन्फिगहरूमा भ्रम बिना नेटवर्क संचार र सुरक्षा नीतिहरू ठीकसँग लागू गर्न मद्दत गर्दछ। यस भागमा पहिले VMware को तुलनामा के नयाँ सुविधाहरू देखा परेका छन् म तपाईंलाई देखाउनेछु।
VMWare NSX नेटवर्क सेवाहरूको लागि भर्चुअलाइजेशन र सुरक्षा प्लेटफर्म हो। NSX ले रूटिङ, स्विचिङ, लोड ब्यालेन्सिङ, फायरवाल र अन्य धेरै रोचक कुराहरूको समस्या समाधान गर्छ।
NSX VMware को आफ्नै vCloud नेटवर्किङ र सुरक्षा (vCNS) उत्पादन र अधिग्रहण गरेको Nicira NVP को उत्तराधिकारी हो।
vCNS देखि NSX सम्म
पहिले, ग्राहकसँग VMware vCloud मा निर्मित क्लाउडमा छुट्टै vCNS vShield Edge भर्चुअल मेसिन थियो। यसले बोर्डर गेटवेको रूपमा काम गर्यो, जहाँ धेरै नेटवर्क प्रकार्यहरू कन्फिगर गर्न सम्भव थियो: NAT, DHCP, फायरवाल, VPN, लोड ब्यालेन्सर, आदि। फायरवाल र NAT। नेटवर्क भित्र, भर्चुअल मेसिनहरूले सबनेटहरू भित्र स्वतन्त्र रूपमा एक अर्कासँग सञ्चार गर्थे। यदि तपाइँ साँच्चै ट्राफिक विभाजित गर्न र जित्न चाहनुहुन्छ भने, तपाइँ अनुप्रयोगहरूको व्यक्तिगत भागहरू (भिन्न भर्चुअल मेसिनहरू) को लागी एक अलग नेटवर्क बनाउन सक्नुहुन्छ र फायरवालमा तिनीहरूको नेटवर्क अन्तरक्रियाको लागि उपयुक्त नियमहरू सेट गर्न सक्नुहुन्छ। तर यो लामो, गाह्रो र चाखलाग्दो छ, विशेष गरी जब तपाईंसँग धेरै दर्जन भर्चुअल मेसिनहरू छन्।
NSX मा, VMware ले हाइपरभाइजर कर्नेलमा निर्मित वितरित फायरवाल प्रयोग गरेर माइक्रो-सेगमेन्टेसनको अवधारणा लागू गर्यो। यसले सुरक्षा र सञ्जाल अन्तरक्रिया नीतिहरू IP र MAC ठेगानाहरूको लागि मात्र होइन, तर अन्य वस्तुहरूका लागि पनि निर्दिष्ट गर्दछ: भर्चुअल मेसिनहरू, अनुप्रयोगहरू। यदि NSX संगठन भित्र तैनाथ गरिएको छ भने, यी वस्तुहरू सक्रिय निर्देशिकाबाट प्रयोगकर्ता वा प्रयोगकर्ताहरूको समूह हुन सक्छन्। प्रत्येक त्यस्ता वस्तु आफ्नो सुरक्षा लूपमा, आवश्यक सबनेटमा, आफ्नै आरामदायक DMZ :) मा माइक्रोसेगमेन्टमा परिणत हुन्छ।
पहिले, त्यहाँ एक किनारा स्विच द्वारा सुरक्षित स्रोतहरूको सम्पूर्ण पूलको लागि केवल एक सुरक्षा परिधि थियो, तर NSX को साथ तपाईंले एउटै नेटवर्क भित्र पनि अनावश्यक अन्तरक्रियाहरूबाट छुट्टै भर्चुअल मेसिनलाई जोगाउन सक्नुहुन्छ।
सुरक्षा र सञ्जाल नीतिहरू अनुकूल हुन्छन् यदि एक इकाई फरक नेटवर्कमा सर्छ। उदाहरणका लागि, यदि हामीले डाटाबेस भएको मेसिनलाई अर्को नेटवर्क खण्डमा वा अर्को जडान गरिएको भर्चुअल डाटा सेन्टरमा सार्नुभयो भने, यस भर्चुअल मेसिनको लागि लेखिएका नियमहरू यसको नयाँ स्थानको पर्वाह नगरी लागू हुन जारी रहनेछन्। एप्लिकेसन सर्भरले अझै पनि डाटाबेससँग सञ्चार गर्न सक्षम हुनेछ।
किनारा गेटवे आफै, vCNS vShield Edge, NSX Edge द्वारा प्रतिस्थापन गरिएको छ। यसमा पुरानो एजका सबै सज्जन सुविधाहरू छन्, साथै केही नयाँ उपयोगी सुविधाहरू। हामी तिनीहरूको बारेमा थप कुरा गर्नेछौं।
NSX Edge मा नयाँ के छ?
NSX Edge कार्यक्षमता निर्भर गर्दछ NSX। तिनीहरूमध्ये पाँच छन्: मानक, व्यावसायिक, उन्नत, उद्यम, प्लस रिमोट शाखा कार्यालय। सबै नयाँ र चाखलाग्दो देख्न सकिन्छ मात्र उन्नत बाट सुरु। नयाँ इन्टरफेस सहित, जुन vCloud पूर्ण रूपमा HTML5 मा स्विच नगरेसम्म (VMware ग्रीष्म 2019 को प्रतिज्ञा गर्दछ), नयाँ ट्याबमा खुल्छ।
फायरवाल तपाईले IP ठेगानाहरू, नेटवर्कहरू, गेटवे इन्टरफेसहरू, र भर्चुअल मेसिनहरूलाई वस्तुहरूको रूपमा चयन गर्न सक्नुहुन्छ जसमा नियमहरू लागू हुनेछन्।
DHCP। यस नेटवर्कमा भर्चुअल मेसिनहरूमा स्वचालित रूपमा जारी गरिने IP ठेगानाहरूको दायरा कन्फिगर गर्नका साथै, NSX Edge सँग अब निम्न कार्यहरू छन्: बाध्यकारी и रिले.
ट्याबमा Bindings तपाईले भर्चुअल मेसिनको MAC ठेगानालाई IP ठेगानामा बाँध्न सक्नुहुन्छ यदि तपाईलाई IP ठेगाना परिवर्तन गर्न आवश्यक छैन भने। मुख्य कुरा यो आईपी ठेगाना DHCP पूल मा समावेश छैन।
ट्याबमा रिले DHCP सन्देशहरूको रिले भौतिक पूर्वाधारको DHCP सर्भरहरू सहित vCloud निर्देशकमा तपाईंको संगठन बाहिर अवस्थित DHCP सर्भरहरूमा कन्फिगर गरिएको छ।
रूटिङ। vShield Edge ले स्थिर राउटिङ मात्र कन्फिगर गर्न सक्छ। OSPF र BGP प्रोटोकलहरूको लागि समर्थनको साथ गतिशील मार्ग यहाँ देखा पर्यो। ECMP (सक्रिय-सक्रिय) सेटिङहरू पनि उपलब्ध भएका छन्, जसको अर्थ भौतिक राउटरहरूमा सक्रिय-सक्रिय फेलओभर हो।
OSPF स्थापना गर्दै
BGP स्थापना गर्दै
अर्को नयाँ कुरा बिभिन्न प्रोटोकलहरू बीच मार्गहरूको स्थानान्तरण सेटअप गर्दैछ,
मार्ग पुनर्वितरण।
L4/L7 लोड ब्यालेन्सर। X-Forwarded-For HTTPs हेडरको लागि प्रस्तुत गरिएको थियो। उनी बिना सबै रोए । उदाहरणका लागि, तपाइँसँग एक वेबसाइट छ जुन तपाइँ सन्तुलनमा हुनुहुन्छ। यो हेडर फर्वार्ड नगरीकन, सबै काम गर्दछ, तर वेब सर्भर तथ्याङ्कमा तपाईंले आगन्तुकहरूको आईपी होइन, तर ब्यालेन्सरको आईपी देख्नुभयो। अब सबै ठीक छ।
साथै अनुप्रयोग नियम ट्याबमा तपाईले अब ट्राफिक सन्तुलनलाई प्रत्यक्ष रूपमा नियन्त्रण गर्ने स्क्रिप्टहरू थप्न सक्नुहुन्छ।
VPN IPSec VPN को अतिरिक्त, NSX Edge ले समर्थन गर्दछ:
- L2 VPN, जसले तपाईंलाई भौगोलिक रूपमा फैलिएका साइटहरू बीच नेटवर्कहरू विस्तार गर्न अनुमति दिन्छ। यस्तो VPN आवश्यक छ, उदाहरणका लागि, ताकि अर्को साइटमा सर्दा, भर्चुअल मेसिन उही सबनेटमा रहन्छ र यसको IP ठेगाना राख्छ।
- SSL VPN Plus, जसले प्रयोगकर्ताहरूलाई कर्पोरेट नेटवर्कमा टाढाबाट जडान गर्न अनुमति दिन्छ। vSphere स्तरमा यस्तो प्रकार्य थियो, तर vCloud निर्देशकको लागि यो एक नवीनता हो।
SSL प्रमाणपत्रहरू। प्रमाणपत्रहरू अब NSX किनारामा स्थापना गर्न सकिन्छ। यो फेरि प्रश्नमा आउँछ कि कसलाई https को लागि प्रमाणपत्र बिना ब्यालेन्सर चाहिन्छ।
समूहीकरण वस्तुहरू। यस ट्याबमा, वस्तुहरूको समूह निर्दिष्ट गरिएको छ जसको लागि निश्चित नेटवर्क अन्तरक्रिया नियमहरू लागू हुनेछन्, उदाहरणका लागि, फायरवाल नियमहरू।
यी वस्तुहरू IP र MAC ठेगाना हुन सक्छन्।
त्यहाँ सेवाहरूको सूची पनि छ (प्रोटोकल-पोर्ट संयोजन) र अनुप्रयोगहरू जुन फायरवाल नियमहरू सिर्जना गर्दा प्रयोग गर्न सकिन्छ। केवल vCD पोर्टल प्रशासकले नयाँ सेवाहरू र अनुप्रयोगहरू थप्न सक्छ।
तथ्याङ्क। जडान तथ्याङ्क: गेटवे, फायरवाल र ब्यालेन्सर मार्फत जाने ट्राफिक।
प्रत्येक IPSEC VPN र L2 VPN टनेलको लागि स्थिति र तथ्याङ्कहरू।
लगिङ। किनारा सेटिङ्स ट्याबमा, तपाइँ रेकर्डिङ लगहरूको लागि सर्भर सेट गर्न सक्नुहुन्छ। लगिङले DNAT/SNAT, DHCP, फायरवाल, राउटिङ, ब्यालेन्सर, IPsec VPN, SSL VPN Plus का लागि काम गर्दछ।
प्रत्येक वस्तु/सेवाको लागि निम्न प्रकारका अलर्टहरू उपलब्ध छन्:
- डिबग
- अलर्ट
- आलोचनात्मक
- त्रुटि
- चेतावनी
- सूचना
- जानकारी
NSX किनारा आयामहरू
समाधान भइरहेका कार्यहरू र VMware को भोल्युममा निर्भर गर्दछ निम्न आकारहरूमा NSX किनारा सिर्जना गर्नुहोस्:
NSX किनारा
(कम्प्याक्ट)
NSX किनारा
(ठूलो)
NSX किनारा
(क्वाड-लार्ज)
NSX किनारा
(X-ठूलो)
vCPU
1
2
4
6
स्मरण
512MB
1GB
1GB
8GB
डिस्क
512MB
512MB
512MB
4.5GB + 4GB
नियुक्ति
एक
आवेदन, परीक्षण
डाटा केन्द्र
सानो
वा औसत
डाटा केन्द्र
लोड गरियो
फायरवाल
सन्तुलन
स्तर L7 मा लोड
तल तालिकामा NSX Edge को साइजमा आधारित नेटवर्क सेवाहरूको सञ्चालन मेट्रिक्सहरू छन्।
NSX किनारा
(कम्प्याक्ट)
NSX किनारा
(ठूलो)
NSX किनारा
(क्वाड-लार्ज)
NSX किनारा
(X-ठूलो)
इन्टरफेस
10
10
10
10
उप इन्टरफेस (ट्रंक)
200
200
200
200
NAT नियमहरु
2,048
4,096
4,096
8,192
ARP प्रविष्टिहरू
अधिलेखन सम्म
1,024
2,048
2,048
2,048
FW नियमहरू
2000
2000
2000
2000
FW प्रदर्शन
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP पूलहरू
20,000
20,000
20,000
20,000
ECMP पथहरू
8
8
8
8
स्थिर मार्गहरू
2,048
2,048
2,048
2,048
LB पूलहरू
64
64
64
1,024
LB भर्चुअल सर्भरहरू
64
64
64
1,024
LB सर्भर / पूल
32
32
32
32
LB स्वास्थ्य जाँच
320
320
320
3,072
LB आवेदन नियमहरू
4,096
4,096
4,096
4,096
L2VPN ग्राहक हब बोल्न
5
5
5
5
L2VPN नेटवर्क प्रति ग्राहक/सर्भर
200
200
200
200
IPSec टनेलहरू
512
1,600
4,096
6,000
SSLVPN टनेलहरू
50
100
100
1,000
SSLVPN निजी नेटवर्कहरू
16
16
16
16
समवर्ती सत्रहरू
64,000
1,000,000
1,000,000
1,000,000
सत्र/सेकेन्ड
8,000
50,000
50,000
50,000
LB थ्रुपुट L7 प्रोक्सी)
2.2Gbps
2.2Gbps
3Gbps
LB थ्रुपुट L4 मोड)
6Gbps
6Gbps
6Gbps
LB जडान/s (L7 प्रोक्सी)
46,000
50,000
50,000
LB समवर्ती जडानहरू (L7 प्रोक्सी)
8,000
60,000
60,000
LB जडान/s (L4 मोड)
50,000
50,000
50,000
LB समवर्ती जडानहरू (L4 मोड)
600,000
1,000,000
1,000,000
BGP मार्गहरू
20,000
50,000
250,000
250,000
BGP छिमेकीहरू
10
20
100
100
BGP मार्गहरू पुन: वितरण गरियो
कुनै सीमा छैन
कुनै सीमा छैन
कुनै सीमा छैन
कुनै सीमा छैन
OSPF मार्गहरू
20,000
50,000
100,000
100,000
OSPF LSA प्रविष्टिहरू अधिकतम 750 प्रकार-1
20,000
50,000
100,000
100,000
OSPF संलग्नताहरू
10
20
40
40
OSPF मार्गहरू पुन: वितरण गरियो
2000
5000
20,000
20,000
कुल रुटहरू
20,000
50,000
250,000
250,000
→
तालिकाले देखाउँछ कि ठूलो आकारबाट मात्र सुरु हुने उत्पादक परिदृश्यहरूको लागि NSX Edge मा सन्तुलन मिलाउन सिफारिस गरिन्छ।
आजको लागि मसँग यति मात्र छ। निम्न भागहरूमा म प्रत्येक NSX Edge नेटवर्क सेवा कसरी कन्फिगर गर्ने विस्तृत रूपमा जानेछु।
स्रोत: www.habr.com