جيڪڏهن توهان ڪنهن به فائر وال جي ترتيب تي نظر رکون ٿا، ته گهڻو ڪري اسان کي IP پتي، بندرگاهن، پروٽوڪول ۽ سبنيٽس جي هڪ گروپ سان هڪ شيٽ نظر ايندي. اهو ڪيئن آهي نيٽ ورڪ سيڪيورٽي پاليسيون وسيلن تائين صارف جي رسائي لاءِ ڪلاسيڪل طور تي لاڳو ٿين ٿيون. پهرين ته اهي ترتيب ۾ ترتيب برقرار رکڻ جي ڪوشش ڪندا آهن، پر پوءِ ملازم هڪ ڊپارٽمينٽ کان ڊپارٽمينٽ ڏانهن منتقل ٿيڻ شروع ڪندا آهن، سرور وڌائيندا آهن ۽ پنهنجو ڪردار تبديل ڪندا آهن، مختلف منصوبن تائين رسائي ظاهر ٿيندي آهي جتي انهن کي عام طور تي اجازت نه هوندي آهي، ۽ سوين نامعلوم بکري رستا نڪرندا آهن.
ڪجهه ضابطن جي اڳيان، جيڪڏهن توهان خوش قسمت آهيو، اتي تبصرا آهن "واسيا مون کي اهو ڪرڻ لاء چيو" يا "هي DMZ ڏانهن هڪ پاسو آهي." نيٽ ورڪ ايڊمنسٽريٽر ڇڏي ٿو، ۽ هر شيء مڪمل طور تي واضح ٿي ويندي آهي. پوءِ ڪنهن واسيا جي ترتيب کي صاف ڪرڻ جو فيصلو ڪيو ، ۽ ايس اي پي تباهه ٿي ويو ، ڇاڪاڻ ته واسيا هڪ ڀيرو هن رسائي لاءِ چيو جنگي SAP کي هلائڻ لاءِ.
اڄ مان ڳالهائيندس VMware NSX حل، جيڪو نيٽ ورڪ ڪميونيڪيشن ۽ سيڪيورٽي پاليسين کي درست طور تي لاڳو ڪرڻ ۾ مدد ڪري ٿو بغير ڪنهن مونجهاري جي فائر وال ترتيبن ۾. مان توهان کي ڏيکاريندس ته ڪهڙيون نيون خاصيتون ظاهر ٿيون آهن ان جي مقابلي ۾ جيڪي VMware اڳ ۾ هن حصي ۾ هئا.
VMWare NSX هڪ ورچوئلائيزيشن ۽ سيڪيورٽي پليٽ فارم آهي نيٽ ورڪ خدمتن لاءِ. NSX روٽنگ، سوئچنگ، لوڊ بيلنس، فائر وال جا مسئلا حل ڪري ٿو ۽ ٻيون ڪيتريون ئي دلچسپ شيون ڪري سگھن ٿيون.
NSX VMware جي پنهنجي vCloud نيٽورڪنگ ۽ سيڪيورٽي (vCNS) پراڊڪٽ ۽ حاصل ڪيل نيڪرا NVP جو جانشين آهي.
VCNS کان NSX تائين
اڳي، هڪ ڪلائنٽ وٽ هڪ الڳ vCNS vShield Edge ورچوئل مشين هئي ڪلائوڊ ۾ VMware vCloud تي ٺهيل. اهو هڪ ايج گيٽ وي جي طور تي ڪم ڪيو، جتي ڪيترن ئي نيٽ ورڪ افعال کي ترتيب ڏيڻ ممڪن هو: NAT، DHCP، فائر وال، وي پي اين، لوڊ بيلنس، وغيره. فائر وال ۽ NAT. نيٽ ورڪ جي اندر، ورچوئل مشينون هڪ ٻئي سان آزاديءَ سان سبنيٽس ۾ رابطو ڪن ٿيون. جيڪڏهن توهان واقعي ٽريفڪ کي ورهائڻ ۽ فتح ڪرڻ چاهيو ٿا، ته توهان ايپليڪيشنن جي انفرادي حصن (مختلف ورچوئل مشينن) لاءِ هڪ الڳ نيٽ ورڪ ٺاهي سگهو ٿا ۽ انهن جي نيٽ ورڪ رابطي لاءِ مناسب ضابطا مقرر ڪري سگهو ٿا فائر وال ۾. پر اهو ڊگهو، ڏکيو ۽ غير دلچسپ آهي، خاص طور تي جڏهن توهان وٽ ڪيترائي درجن ورچوئل مشينون آهن.
NSX ۾، VMware هڪ ورهايل فائر وال استعمال ڪندي مائڪرو-سيگمينٽيشن جو تصور لاڳو ڪيو جيڪو هائپر ويزر ڪنييل ۾ ٺهيل آهي. اهو وضاحت ڪري ٿو سيڪيورٽي ۽ نيٽ ورڪ رابطي جي پاليسين نه صرف IP ۽ MAC پتي لاء، پر ٻين شين لاء پڻ: مجازي مشينون، ايپليڪيشنون. جيڪڏهن NSX هڪ تنظيم جي اندر ترتيب ڏني وئي آهي، اهي شيون ٿي سگهن ٿيون صارف يا صارفين جو گروپ فعال ڊائريڪٽري مان. هر اهڙي شئي پنهنجي حفاظتي لوپ ۾، گهربل سبٽ ۾، پنهنجي آرام سان DMZ سان، مائڪرو سيگمينٽ ۾ تبديل ٿي ويندي آهي :).
اڳي، وسيلن جي پوري تلاءَ لاءِ صرف هڪ حفاظتي دائرو هوندو هو، هڪ ايج سوئچ ذريعي محفوظ هوندو هو، پر NSX سان توهان هڪ الڳ ورچوئل مشين کي غير ضروري ڳالهين کان بچائي سگهو ٿا، حتي ساڳئي نيٽ ورڪ ۾.
سيڪيورٽي ۽ نيٽ ورڪنگ پاليسيون ٺاهن ٿيون جيڪڏهن ڪو ادارو مختلف نيٽ ورڪ ڏانهن منتقل ٿئي ٿو. مثال طور، جيڪڏهن اسان هڪ ڊيٽابيس سان گڏ هڪ مشين کي ٻئي نيٽ ورڪ واري حصي ڏانهن يا ڪنهن ٻئي ڳنڍيل ورچوئل ڊيٽا سينٽر ڏانهن منتقل ڪريون ٿا، ته پوءِ هن ورچوئل مشين لاءِ لکيل ضابطا لاڳو ٿيندا رهندا، قطع نظر ان جي نئين هنڌ جي. ايپليڪيشن سرور اڃا تائين ڊيٽابيس سان رابطو ڪرڻ جي قابل هوندو.
ايج گيٽ وي پاڻ، vCNS vShield Edge، NSX Edge طرفان تبديل ڪيو ويو آهي. ان ۾ پراڻي ايج جون تمام نرمي واريون خاصيتون آهن، ۽ ڪجهه نوان مفيد خاصيتون. اسان ان بابت وڌيڪ ڳالهائينداسين.
NSX Edge سان نئون ڇا آهي؟
NSX Edge ڪارڪردگي تي منحصر آهي
فائر وال. توھان چونڊي سگھوٿا IP پتي، نيٽ ورڪ، گيٽ وي انٽرفيس، ۽ ورچوئل مشينون شيون جيئن قاعدا لاڳو ڪيا ويندا.
DHCP. IP پتي جي حد کي ترتيب ڏيڻ کان علاوه جيڪي خودڪار طور تي هن نيٽ ورڪ تي ورچوئل مشينن ڏانهن جاري ڪيا ويندا، NSX ايج هاڻي هيٺ ڏنل ڪم ڪيا آهن: واجب и رلي.
ٽئب ۾ پابنديون توهان هڪ مجازي مشين جي MAC پتي کي IP پتي تي پابند ڪري سگهو ٿا جيڪڏهن توهان کي IP پتي کي تبديل ڪرڻ جي ضرورت ناهي. بنيادي شيء اها آهي ته هي IP پتو DHCP پول ۾ شامل نه آهي.
ٽئب ۾ رلي DHCP پيغامن جي رلي DHCP سرورز تي ترتيب ڏنل آهي جيڪي توهان جي تنظيم کان ٻاهر vCloud ڊائريڪٽر ۾ واقع آهن، بشمول جسماني انفراسٽرڪچر جا DHCP سرور.
روئڻ. vShield Edge صرف جامد روٽنگ کي ترتيب ڏئي سگھي ٿو. او ايس پي ايف ۽ بي جي پي پروٽوڪول جي حمايت سان متحرڪ رستو هتي ظاهر ٿيو. ECMP (فعال-فعال) سيٽنگون پڻ دستياب ٿي چڪيون آهن، جنهن جو مطلب آهي فعال-فعال ناڪامي جسماني رستن ڏانهن.
او ايس پي ايف کي ترتيب ڏيڻ
BGP قائم ڪرڻ
ٻي نئين شيء مختلف پروٽوڪول جي وچ ۾ رستن جي منتقلي کي ترتيب ڏيڻ آهي،
رستي جي ٻيهر ورڇ.
L4/L7 لوڊ بيلنس. X-Forwarded-For HTTPs هيڊر لاءِ متعارف ڪرايو ويو. هن کان سواءِ هر ڪو روئي رهيو هو. مثال طور، توهان وٽ هڪ ويب سائيٽ آهي جيڪا توهان توازن ڪري رهيا آهيو. هن هيڊر کي اڳتي وڌائڻ جي بغير، سڀ ڪجهه ڪم ڪري ٿو، پر ويب سرور جي انگن اکرن ۾ توهان ڏٺو آهي نه ويندڙن جو IP، پر بيلنسر جو IP. هاڻي سڀ ڪجهه ٺيڪ آهي.
پڻ ايپليڪيشن رولز ٽئب ۾ توھان ھاڻي شامل ڪري سگھوٿا اسڪرپٽ جيڪي سڌو سنئون ٽرئفڪ جي توازن کي ڪنٽرول ڪندا.
وي پي اين. IPSec VPN کان علاوه، NSX ايج سپورٽ ڪري ٿو:
- L2 VPN، جيڪو توهان کي جغرافيائي طور تي منتشر سائيٽن جي وچ ۾ نيٽ ورڪ وڌائڻ جي اجازت ڏئي ٿو. اهڙي وي پي اين جي ضرورت آهي، مثال طور، انهي ڪري ته جڏهن ٻئي سائيٽ ڏانهن منتقل ڪيو وڃي، مجازي مشين ساڳئي سب نيٽ ۾ رهي ٿي ۽ ان جي IP پتي کي برقرار رکي ٿي.
- SSL VPN پلس، جيڪو صارفين کي ريموٽ سان ڪارپوريٽ نيٽ ورڪ سان ڳنڍڻ جي اجازت ڏئي ٿو. vSphere سطح تي هڪ اهڙي فنڪشن هئي، پر vCloud ڊائريڪٽر لاء هي هڪ جدت آهي.
SSL سرٽيفڪيٽ. سرٽيفڪيٽ هاڻي اين ايس ايڪس ايج تي نصب ٿي سگهن ٿا. اهو وري سوال تي اچي ٿو ته ڪنهن کي بيلنس جي ضرورت آهي بغير ڪنهن سرٽيفڪيٽ جي https لاءِ.
گروپنگ آبجیکٹ. هن ٽيب ۾، شيون جا گروپ بيان ڪيا ويا آهن جن لاءِ ڪجهه نيٽ ورڪ رابطي جا ضابطا لاڳو ٿيندا، مثال طور، فائر وال ضابطا.
اهي شيون IP ۽ MAC ايڊريس ٿي سگهن ٿيون.
هتي پڻ خدمتن جي هڪ فهرست آهي (پروٽوڪول-پورٽ ميلاپ) ۽ ايپليڪيشنون جيڪي استعمال ڪري سگھجن ٿيون جڏهن فائر وال ضابطا ٺاهي رهيا آهن. صرف وي سي ڊي پورٽل ايڊمنسٽريٽر نيون خدمتون ۽ ايپليڪيشنون شامل ڪري سگھن ٿا.
شماريات. ڪنيڪشن جا انگ اکر: ٽرئفڪ جيڪا گيٽ وي، فائر وال ۽ بيلنس جي ذريعي گذري ٿي.
هر IPSEC VPN ۽ L2 VPN سرنگ لاءِ اسٽيٽس ۽ انگ اکر.
لاگنگ. ايج سيٽنگون ٽيب ۾، توهان رڪارڊنگ لاگز لاء سرور سيٽ ڪري سگهو ٿا. لاگنگ DNAT/SNAT، DHCP، فائر وال، روٽنگ، بيلنس، IPsec VPN، SSL VPN Plus لاءِ ڪم ڪري ٿي.
هر اعتراض/خدمت لاءِ هيٺ ڏنل قسم جا الرٽ موجود آهن:
- ڊيبگ
- خبردار
- نازڪ
- غلطي
- ڊيڄاريندڙ
- نوٽيس
- ڄاڻ
NSX Edge طول و عرض
حل ٿيل ڪمن تي منحصر آهي ۽ VMware جي حجم
اين ايس ايڪس ايج
(ڪمپيٽ)
اين ايس ايڪس ايج
(وڏو)
اين ايس ايڪس ايج
(چوڻي- وڏو)
اين ايس ايڪس ايج
(X-وڏو)
وي سي پي يو
1
2
4
6
هوندي آهي
512MB
1GB
1GB
8GB
ڊسڪ
512MB
512MB
512MB
4.5GB + 4GB
تقسيم
هڪ
درخواست، امتحان
ڊيٽا سينٽر
ننڍڙو
يا اوسط
ڊيٽا سينٽر
لوڊ ٿيل
فائر وال
توازن رکڻ
L7 سطح تي لوڊ
هيٺ ڏنل جدول ۾ نيٽ ورڪ سروسز جا آپريٽنگ ميٽرڪس NSX Edge جي سائيز تي منحصر آهن.
اين ايس ايڪس ايج
(ڪمپيٽ)
اين ايس ايڪس ايج
(وڏو)
اين ايس ايڪس ايج
(چوڻي- وڏو)
اين ايس ايڪس ايج
(X-وڏو)
Interfaces
10
10
10
10
ذيلي انٽرفيس (ٽرڪ)
200
200
200
200
NAT جا ضابطا
2,048
4,096
4,096
8,192
ARP داخلا
اوور رائٽ تائين
1,024
2,048
2,048
2,048
FW ضابطا
2000
2000
2000
2000
FW ڪارڪردگي
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP تلاءُ
20,000
20,000
20,000
20,000
ECMP رستا
8
8
8
8
جامد رستا
2,048
2,048
2,048
2,048
ايل بي پول
64
64
64
1,024
LB ورچوئل سرورز
64
64
64
1,024
ايل بي سرور / پول
32
32
32
32
ايل بي صحت جي چڪاس
320
320
320
3,072
ايل بي جي درخواست جا ضابطا
4,096
4,096
4,096
4,096
L2VPN ڪلائنٽ جو حب ڳالهائڻ لاءِ
5
5
5
5
L2VPN نيٽ ورڪ في ڪلائنٽ/سرور
200
200
200
200
IPSec سرنگون
512
1,600
4,096
6,000
SSLVPN سرنگون
50
100
100
1,000
SSLVPN نجي نيٽ ورڪ
16
16
16
16
همعصر سيشن
64,000
1,000,000
1,000,000
1,000,000
سيشن / سيڪنڊ
8,000
50,000
50,000
50,000
LB ذريعي L7 Proxy)
2.2Gbps
2.2Gbps
3Gbps
LB ذريعي L4 موڊ)
6Gbps
6Gbps
6Gbps
LB ڪنيڪشن/s (L7 Proxy)
46,000
50,000
50,000
LB سمورو ڪنيڪشن (L7 Proxy)
8,000
60,000
60,000
LB ڪنيڪشن/s (L4 موڊ)
50,000
50,000
50,000
LB سمورو ڪنيڪشن (L4 موڊ)
600,000
1,000,000
1,000,000
BGP رستا
20,000
50,000
250,000
250,000
BGP پاڙيسري
10
20
100
100
BGP رستن کي ٻيهر ورهايو ويو
ڪابه حد نه آهي
ڪابه حد نه آهي
ڪابه حد نه آهي
ڪابه حد نه آهي
OSPF رستا
20,000
50,000
100,000
100,000
OSPF LSA داخلون وڌ ۾ وڌ 750 قسم-1
20,000
50,000
100,000
100,000
او ايس پي ايف ملفوظات
10
20
40
40
OSPF رستن کي ٻيهر ورهايو ويو
2000
5000
20,000
20,000
ڪل رستا
20,000
50,000
250,000
250,000
→
جدول ڏيکاري ٿو ته اها سفارش ڪئي وئي آهي ته NSX ايج تي توازن کي منظم ڪرڻ لاءِ صرف وڏي سائيز کان شروع ٿيندڙ پيداواري منظرنامو.
اهو سڀ ڪجهه مون وٽ اڄ تائين آهي. هيٺ ڏنل حصن ۾ آئون تفصيل سان ويندس ته هر اين ايس ايڪس ايج نيٽ ورڪ سروس کي ڪيئن ترتيب ڏيو.
جو ذريعو: www.habr.com