که تاسو د کوم فایر وال ترتیب ته ګورئ ، نو ډیری احتمال به موږ د IP پتې ، بندرونو ، پروتوکولونو او فرنیټونو سره یو شیټ وګورو. دا څنګه سرچینو ته د کارونکي لاسرسي لپاره د شبکې امنیت پالیسۍ په کلاسیک ډول پلي کیږي. په لومړي سر کې دوی هڅه کوي په ترتیب کې نظم وساتي، مګر بیا کارمندان له یوې څانګې څخه ډیپارټمنټ ته حرکت کوي، سرورونه ضرب کوي او خپل رولونه بدلوي، مختلف پروژو ته السرسی ښکاري چیرې چې دوی معمولا اجازه نه لري، او په سلګونو نامعلومې لارې راڅرګندیږي.
د ځینو مقرراتو سره سم، که تاسو خوشحاله یاست، دلته تبصرې شتون لري "واسیا له ما څخه وغوښتل چې دا وکړي" یا "دا DMZ ته یو تیری دی." د شبکې مدیر پریږدي، او هرڅه په بشپړ ډول ناڅرګند کیږي. بیا یو چا پریکړه وکړه چې د واسیا تشکیل پاک کړي ، او SAP ټکر شو ، ځکه چې واسیا یوځل د جنګي SAP چلولو لپاره د دې لاسرسي غوښتنه وکړه.
نن زه به د VMware NSX حل په اړه وغږیږم، کوم چې د فایروال ترتیبونو کې د ګډوډۍ پرته د شبکې اړیکو او امنیتي پالیسیو په سمه توګه پلي کولو کې مرسته کوي. زه به تاسو ته وښیم چې کوم نوي ب featuresې د هغه څه په پرتله څرګندې شوې چې VMware دمخه پدې برخه کې درلود.
VMWare NSX د شبکې خدماتو لپاره د مجازی کولو او امنیت پلیټ فارم دی. NSX د روټینګ ، سویچ کولو ، بار توازن کولو ، فایر وال ستونزې حل کوي او ډیری نور په زړه پوري شیان کولی شي.
NSX د VMware د خپل vCloud شبکې او امنیت (vCNS) محصول او ترلاسه شوي نیکیرا NVP جانشین دی.
له vCNS څخه NSX ته
دمخه ، یو پیرودونکي په VMware vCloud جوړ شوي بادل کې جلا vCNS vShield Edge مجازی ماشین درلود. دا د سرحدی دروازې په توګه کار کاوه، چیرته چې دا ممکنه وه چې د شبکې ډیری فعالیتونه تنظیم کړي: NAT، DHCP، Firewall، VPN، د بار توازن، او داسې نور. فایروال او NAT. د شبکې دننه، مجازی ماشینونه په فرعي سایټونو کې په آزاده توګه د یو بل سره اړیکه نیسي. که تاسو واقعیا غواړئ ترافیک تقسیم او فتح کړئ ، تاسو کولی شئ د غوښتنلیکونو انفرادي برخو (مختلف مجازی ماشینونو) لپاره جلا شبکه رامینځته کړئ او په فایر وال کې د دوی شبکې متقابل عمل لپاره مناسب مقررات تنظیم کړئ. مګر دا اوږد، ستونزمن او په زړه پوری دی، په ځانګړې توګه کله چې تاسو څو درجن مجازی ماشینونه لرئ.
په NSX کې، VMware د توزیع شوي فایروال په کارولو سره د مایکرو سیګمینټیشن مفکوره پلي کړه چې د هایپروایسر کرنل کې جوړ شوی. دا نه یوازې د IP او MAC ادرسونو لپاره د امنیت او شبکې متقابل عمل پالیسۍ مشخص کوي ، بلکه د نورو شیانو لپاره هم: مجازی ماشینونه ، غوښتنلیکونه. که چیرې NSX په یوه سازمان کې ځای په ځای شي، دا توکي د فعال لارښود څخه کاروونکي یا د کاروونکو ډله کیدی شي. هر دا ډول څیز په خپل امنیت لوپ کې په مایکرو سیګمینټ بدلیږي ، په اړین سبنټ کې ، د خپل آرام DMZ سره :).
پخوا، د منابعو د ټول حوض لپاره یوازې یو امنیتي احاطه وه، د څنډې سویچ لخوا خوندي شوی، مګر د NSX سره تاسو کولی شئ یو جلا مجازی ماشین د غیر ضروري تعاملاتو څخه خوندي کړئ، حتی په ورته شبکه کې.
د امنیت او شبکې تګلارې سره سمون لري که چیرې یوه اداره بلې شبکې ته حرکت وکړي. د مثال په توګه ، که موږ د ډیټابیس سره ماشین بلې شبکې برخې ته یا حتی بل تړل شوي مجازی ډیټا مرکز ته ولیږو ، نو د دې مجازی ماشین لپاره لیکل شوي مقررات به د دې نوي موقعیت په پام کې نیولو پرته پلي کیدو ته دوام ورکړي. د غوښتنلیک سرور به لاهم د ډیټابیس سره اړیکه ونیسي.
د څنډې دروازې پخپله، vCNS vShield Edge، د NSX Edge لخوا ځای په ځای شوی. دا د زاړه څنډه ټولې نرمې ځانګړتیاوې لري، او یو څو نوي ګټورې ځانګړتیاوې لري. موږ به د دوی په اړه نور خبرې وکړو.
د NSX Edge سره څه نوي دي؟
د NSX Edge فعالیت پورې اړه لري
اور وژنه. تاسو کولی شئ IP پتې، شبکې، د ګیټ وے انٹرفیس، او مجازی ماشینونه د شیانو په توګه وټاکئ چې قواعد به یې پلي شي.
DHCP. د IP پتې د لړۍ تنظیم کولو سربیره چې په اتوماتيک ډول به پدې شبکه کې مجازی ماشینونو ته صادر شي، NSX Edge اوس لاندې دندې لري: صحافي и ریل.
په ټب کې تړل تاسو کولی شئ د مجازی ماشین MAC پته د IP پتې سره وتړئ که تاسو اړتیا لرئ IP پته بدل نه کړئ. اصلي شی دا دی چې دا IP پته د DHCP پول کې شامل نه دی.
په ټب کې ریل د DHCP پیغامونو ریلي د DHCP سرورونو لپاره تنظیم شوی چې ستاسو د سازمان څخه بهر په vCloud ډایرکټر کې موقعیت لري ، پشمول د فزیکي زیربنا DHCP سرورونه.
روټینګ. vShield Edge کولی شي یوازې جامد روټینګ تنظیم کړي. د OSPF او BGP پروتوکولونو ملاتړ سره متحرک روټینګ دلته څرګند شو. ECMP (فعال-فعال) ترتیبات هم شتون لري، پدې معنی چې فزیکي روټرونو ته فعال فعال ناکامي.
د OSPF تنظیم کول
د BGP تنظیم کول
بل نوی شی د مختلف پروتوکولونو تر مینځ د لارو لیږد تنظیم کول دي ،
د لارې بیا ویش.
L4/L7 بار بار بیلانسر. X-Forwarded-For د HTTPs سرلیک لپاره معرفي شو. له هغه پرته هرڅوک چیغې وهلې. د مثال په توګه، تاسو یوه ویب پاڼه لرئ چې تاسو یې توازن کوئ. د دې سرلیک د لیږلو پرته، هرڅه کار کوي، مګر د ویب سرور احصایې کې تاسو د لیدونکو IP نه لیدلی، مګر د بیلانس IP. اوس هر څه سم دي.
همدارنګه د غوښتنلیک قواعدو ټب کې تاسو اوس کولی شئ سکریپټونه اضافه کړئ کوم چې به مستقیم د ترافیک توازن کنټرول کړي.
vpn. د IPSec VPN سربیره، NSX Edge ملاتړ کوي:
- L2 VPN، کوم چې تاسو ته اجازه درکوي چې د جغرافیایي پلوه ویشل شوي سایټونو ترمنځ شبکې وغځوي. دا ډول VPN ته اړتیا ده ، د مثال په توګه ، نو کله چې بل سایټ ته لاړشئ ، مجازی ماشین په ورته فرعي نیټ کې پاتې کیږي او خپل IP پته ساتي.
- د SSL VPN Plus، کوم چې کاروونکو ته اجازه ورکوي چې له لیرې د کارپوریټ شبکې سره وصل شي. د vSphere په کچه دا ډول فعالیت شتون درلود، مګر د vCloud رییس لپاره دا یو نوښت دی.
د ایس ایس ایل سندونه. سندونه اوس په NSX څنډه کې نصب کیدی شي. دا بیا پوښتنې ته راځي چې څوک د https لپاره سند پرته بیلانسر ته اړتیا لري.
د شیانو ګروپ کول. په دې ټب کې، د شیانو ګروپونه مشخص شوي چې د هغې لپاره به د شبکې د تعامل ځینې مقررات پلي شي، د بیلګې په توګه، د اور وژنې قواعد.
دا توکي کیدای شي IP او MAC پتې وي.
دلته د خدماتو لیست هم شتون لري (د پروتوکول - پورټ ترکیب) او غوښتنلیکونه چې د فایر وال قواعد رامینځته کولو پرمهال کارول کیدی شي. یوازې د vCD پورټل مدیر کولی شي نوي خدمات او غوښتنلیکونه اضافه کړي.
احصایې. د اتصال احصایې: ټرافیک چې د ګیټ ویز، فایروال او بیلانسر څخه تیریږي.
د هر IPSEC VPN او L2 VPN تونل لپاره وضعیت او احصایې.
ننوتل. د څنډې تنظیماتو ټب کې ، تاسو کولی شئ د ثبت کولو لاګونو لپاره سرور تنظیم کړئ. ننوتل د DNAT/SNAT، DHCP، فایروال، روټینګ، بیلانسر، IPsec VPN، SSL VPN Plus لپاره کار کوي.
د هر څیز/خدمت لپاره لاندې ډول خبرتیاوې شتون لري:
- ډیبګ
– خبرتیا
– انتقادي
- تېروتنه
- خبرداری
– خبرتیا
– معلومات
د NSX څنډې ابعاد
د حل شوي دندو او د VMware حجم پورې اړه لري
د NSX څنډه
(تړون)
د NSX څنډه
(لوی)
د NSX څنډه
(کواډ-لوی)
د NSX څنډه
(X-لوی)
vCPU
1
2
4
6
د حافظې
512MB
1GB
1GB
8GB
disk
512MB
512MB
512MB
4.5GB + 4GB
تقویت
یو
غوښتنلیک، ازموینه
د معلوماتو مرکز
کوچني
یا اوسط
د معلوماتو مرکز
بار شوی
فایروال
توازن ورکول
په L7 کچه بار کوي
لاندې جدول کې د شبکې خدماتو عملیاتي میټریکونه دي چې د NSX Edge اندازې پورې اړه لري.
د NSX څنډه
(تړون)
د NSX څنډه
(لوی)
د NSX څنډه
(کواډ-لوی)
د NSX څنډه
(X-لوی)
انټرنیټونه
10
10
10
10
فرعي انٹرفیسونه (ډنډونه)
200
200
200
200
د NAT مقررات
2,048
4,096
4,096
8,192
د ARP ننوتل
تر لیکلو پورې
1,024
2,048
2,048
2,048
د FW قواعد
2000
2000
2000
2000
د FW فعالیت
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
د DHCP حوضونه
20,000
20,000
20,000
20,000
د ECMP لارې
8
8
8
8
جامد لارې
2,048
2,048
2,048
2,048
د LB حوض
64
64
64
1,024
LB مجازی سرورونه
64
64
64
1,024
LB سرور/حوض
32
32
32
32
د LB روغتیا معاینات
320
320
320
3,072
د LB غوښتنلیک قواعد
4,096
4,096
4,096
4,096
د L2VPN مراجعینو مرکز خبرې کول
5
5
5
5
د هر پیرودونکي/سرور L2VPN شبکې
200
200
200
200
IPSec تونلونه
512
1,600
4,096
6,000
SSLVPN تونلونه
50
100
100
1,000
SSLVPN خصوصي شبکې
16
16
16
16
هممهاله ناستې
64,000
1,000,000
1,000,000
1,000,000
ناستې/دوهمه
8,000
50,000
50,000
50,000
LB Throughput L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB له لارې پټ L4 حالت)
6Gbps
6Gbps
6Gbps
LB ارتباطات (L7 پراکسي)
46,000
50,000
50,000
LB همغږي اړیکې (L7 پراکسي)
8,000
60,000
60,000
LB ارتباطات (L4 حالت)
50,000
50,000
50,000
LB همغږي ارتباطات (L4 حالت)
600,000
1,000,000
1,000,000
د BGP لارې
20,000
50,000
250,000
250,000
د BGP ګاونډیان
10
20
100
100
د BGP لارې بیا توزیع شوي
هیڅ محدودیت نشته
هیڅ محدودیت نشته
هیڅ محدودیت نشته
هیڅ محدودیت نشته
د OSPF لارې
20,000
50,000
100,000
100,000
OSPF LSA د Max 750 ډول-1 ننوځي
20,000
50,000
100,000
100,000
د OSPF ملحقات
10
20
40
40
د OSPF لارې بیا توزیع شوي
2000
5000
20,000
20,000
ټولې لارې
20,000
50,000
250,000
250,000
→
جدول ښیې چې دا سپارښتنه کیږي چې د تولیدي سناریوګانو لپاره په NSX څنډه کې توازن تنظیم کړئ یوازې د لوی اندازې څخه پیل کیږي.
دا ټول زه د نن ورځې لپاره لرم. په لاندې برخو کې به زه په تفصیل سره لاړ شم چې څنګه د هر NSX Edge شبکې خدمت تنظیم کړم.
سرچینه: www.habr.com