ඔබ ඕනෑම ෆයර්වෝලයක වින්යාසය දෙස බැලුවහොත්, බොහෝ විට අපට IP ලිපින, වරායන්, ප්රොටෝකෝල සහ උපජාල පොකුරක් සහිත පත්රයක් පෙනෙනු ඇත. සම්පත් වෙත පරිශීලක ප්රවේශය සඳහා ජාල ආරක්ෂණ ප්රතිපත්ති සම්භාව්ය ලෙස ක්රියාවට නංවා ඇත්තේ එලෙසය. මුලදී, ඔවුන් වින්යාසය තුළ පිළිවෙලක් පවත්වා ගැනීමට උත්සාහ කරයි, නමුත් පසුව සේවකයින් දෙපාර්තමේන්තුවෙන් දෙපාර්තමේන්තුවට යාමට පටන් ගනී, සේවාදායකයන් ගුණ කර ඔවුන්ගේ භූමිකාවන් වෙනස් කරයි, විවිධ ව්යාපෘති සඳහා ප්රවේශය සාමාන්යයෙන් කළ නොහැකි තැන්වල දිස් වේ, සහ නොදන්නා එළු මංපෙත් සිය ගණනක් ලබා ගනී.
සමහර නීති වලට ආසන්නව, ඔබ වාසනාවන්ත නම්, "මම එය කිරීමට Vasyaගෙන් ඉල්ලා සිටියෙමි" හෝ "මෙය DMZ වෙත ඡේදයකි" යන අදහස් ලියා ඇත. ජාල පරිපාලකයා ඉවත් වන අතර සෑම දෙයක්ම සම්පූර්ණයෙන්ම තේරුම්ගත නොහැකිය. පසුව යමෙකු Vasyaගේ වින්යාසය පිරිසිදු කිරීමට තීරණය කළ අතර SAP බිඳ වැටුණි, මන්ද Vasya වරක් සටන් SAP සමඟ වැඩ කිරීමට මෙම ප්රවේශය ඉල්ලා සිටි බැවිනි.
අද මම VMware NSX විසඳුම ගැන කතා කරමි, එය ෆයර්වෝල් වින්යාසයන්හි ව්යාකූලත්වයකින් තොරව ජාල සන්නිවේදනය සහ ආරක්ෂක ප්රතිපත්ති නිවැරදිව යෙදීමට උපකාරී වේ. මෙම කොටසෙහි කලින් VMware තිබූ දේට සාපේක්ෂව නව විශේෂාංග මොනවාදැයි මම ඔබට පෙන්වන්නම්.
VMWare NSX යනු අථත්යකරණ සහ ජාල සේවා ආරක්ෂණ වේදිකාවකි. NSX මඟින් මාර්ගගත කිරීම, මාරු කිරීම, බර සමතුලිත කිරීම, ෆයර්වෝල් සහ තවත් බොහෝ රසවත් දේවල් විසඳයි.
NSX යනු VMware ගේම vCloud Networking and Security (vCNS) නිෂ්පාදනයේ අනුප්රාප්තිකයා සහ අත්පත් කරගත් Nicira NVP ය.
vCNS සිට NSX දක්වා
මීට පෙර, සේවාදායකයකුට VMware vCloud මත ගොඩනගා ඇති වලාකුළක වෙනම vCNS vShield Edge අතථ්ය යන්ත්රයක් තිබුණි. එය මායිම් ද්වාරයක් ලෙස ක්රියා කළ අතර එහිදී බොහෝ ජාල කාර්යයන් වින්යාස කිරීමට හැකි විය: NAT, DHCP, Firewall, VPN, load balancer, ආදිය. ෆයර්වෝල් සහ NAT. ජාලය තුළ, අථත්ය යන්ත්ර උපජාල තුළ නිදහසේ එකිනෙකා සමඟ සන්නිවේදනය කරයි. ඔබට ඇත්ත වශයෙන්ම ගමනාගමනය බෙදීමට සහ ජය ගැනීමට අවශ්ය නම්, ඔබට යෙදුම්වල තනි කොටස් (විවිධ අථත්ය යන්ත්ර) සඳහා වෙනම ජාලයක් සාදා ෆයර්වෝල් තුළ ඔවුන්ගේ ජාල අන්තර්ක්රියා සඳහා සුදුසු නීති සැකසිය හැකිය. නමුත් මෙය දිගු, දුෂ්කර සහ උනන්දුවක් නොදක්වයි, විශේෂයෙන් ඔබ අතථ්ය යන්ත්ර දුසිම් කිහිපයක් ඇති විට.
NSX හි, VMware විසින් හයිපර්වයිසර් හරයට ගොඩනගා ඇති බෙදා හරින ලද ෆයර්වෝලයක් භාවිතයෙන් ක්ෂුද්ර-ඛණ්ඩනය කිරීමේ සංකල්පය ක්රියාත්මක කරන ලදී. එය IP සහ MAC ලිපින සඳහා පමණක් නොව අනෙකුත් වස්තූන් සඳහාද ආරක්ෂාව සහ ජාල අන්තර්ක්රියා ප්රතිපත්ති නියම කරයි: අතථ්ය යන්ත්ර, යෙදුම්. NSX ආයතනයක් තුළ යොදවා තිබේ නම්, සක්රීය නාමාවලියෙන් පරිශීලකයෙකුට හෝ පරිශීලකයින් පිරිසක් එවැනි වස්තූන් බවට පත්විය හැක. එවැනි සෑම වස්තුවක්ම තමන්ගේම ආරක්ෂිත ලූපයේ, නිවැරදි උපජාලයේ, එහි සුවපහසු DMZ සමඟ ක්ෂුද්ර ඛණ්ඩයක් බවට පත්වේ :).
මීට පෙර, සම්පූර්ණ සම්පත් සංචිතය සඳහා එක් ආරක්ෂක පරිමිතියක් පමණක් විය, එය දාර ස්විචයකින් ආරක්ෂා කර ඇති අතර, NSX සමඟින්, ඔබට එකම ජාලය තුළ පවා අනවශ්ය අන්තර්ක්රියා වලින් වෙනම අථත්ය යන්ත්රයක් ආරක්ෂා කළ හැකිය.
වස්තුවක් වෙනත් ජාලයකට ගමන් කරන්නේ නම් ආරක්ෂාව සහ ජාලකරණ ප්රතිපත්ති අනුගත වේ. උදාහරණයක් ලෙස, අපි දත්ත සමුදාය සහිත යන්ත්රය වෙනත් ජාල කොටසකට හෝ වෙනත් ආශ්රිත අථත්ය දත්ත මධ්යස්ථානයකට ගෙන ගියහොත්, මෙම අථත්ය යන්ත්රය සඳහා නියම කර ඇති නීති එහි නව ස්ථානය නොසලකා දිගටම ක්රියාත්මක වේ. යෙදුම් සේවාදායකයට තවමත් දත්ත සමුදාය සමඟ සන්නිවේදනය කිරීමට හැකි වනු ඇත.
එජ් ගේට්වේ, vCNS vShield Edge, NSX Edge මගින් ප්රතිස්ථාපනය කර ඇත. එහි පැරණි Edge හි ඇති සියලුම මහත්මා ගති ලක්ෂණ සහ නව ප්රයෝජනවත් විශේෂාංග කිහිපයක් ඇත. අපි ඔවුන් ගැන තවදුරටත් කතා කරමු.
NSX Edge සමඟ අලුත් මොනවාද?
NSX Edge ක්රියාකාරිත්වය රඳා පවතී
ෆයර්වෝල්. ඔබට නීති අදාළ වන වස්තු ලෙස IP ලිපින, ජාල, ද්වාර අතුරුමුහුණත් සහ අතථ්ය යන්ත්ර තෝරාගත හැක.
ඩීඑච්සීපී. මෙම ජාලයේ අථත්ය යන්ත්ර වෙත ස්වයංක්රීයව නිකුත් කෙරෙන IP ලිපින පරාසය වින්යාස කිරීමට අමතරව, NSX Edge ලබා ගත හැකි කාර්යයන් බවට පත් වී ඇත. බන්ධන и රිලේ.
ටැබ් එකේ බැඳීම් ඔබට IP ලිපිනය වෙනස් නොකිරීමට අවශ්ය නම් අතථ්ය යන්ත්රයක MAC ලිපිනය IP ලිපිනයකට බැඳිය හැක. ප්රධාන දෙය නම් මෙම IP ලිපිනය DHCP සංචිතයට ඇතුළත් නොවේ.
ටැබ් එකේ රිලේ භෞතික යටිතල ව්යුහයේ DHCP සේවාදායකයන් ඇතුළුව, vCloud Director හි ඔබේ සංවිධානයෙන් පිටත DHCP සේවාදායකයන් වෙත DHCP පණිවිඩ යැවීම වින්යාස කරයි.
මාර්ගගත කිරීම. vShield Edge වින්යාස කළ හැක්කේ ස්ථිතික රවුටින් සමඟ පමණි. OSPF සහ BGP ප්රොටෝකෝල සඳහා සහය ඇතිව Dynamic routing මෙහි දර්ශනය විය. ECMP (ක්රියාකාරී-ක්රියාකාරී) සැකසුම් ද ලබා ගත හැකි වී ඇත, එයින් අදහස් වන්නේ භෞතික රවුටර සඳහා සක්රිය-ක්රියාකාරී අසමත් වීමයි.
OSPF පිහිටුවීම
BGP වින්යාස කිරීම
තවත් අලුත් දෙයක් නම් විවිධ ප්රොටෝකෝල අතර මාර්ග මාරු කිරීම සැකසීමයි.
මාර්ගය නැවත බෙදා හැරීම.
L4/L7 Load balancer. HTTPs ශීර්ෂකය සඳහා X-Forwarded-For හඳුන්වා දෙන ලදී. ඔහු නොමැතිව සියල්ලෝම අඬන්නට වූහ. උදාහරණයක් ලෙස, ඔබ තුලනය කරන වෙබ් අඩවියක් තිබේ. මෙම ශීර්ෂකය යොමු නොකර, සියල්ල ක්රියාත්මක වේ, නමුත් වෙබ් සේවාදායකයේ සංඛ්යාලේඛනවල ඔබ දුටුවේ අමුත්තන්ගේ IP නොව, සමතුලිතයේ IP ය. දැන් හැමදේම හරි.
යෙදුම් රීති පටිත්තෙහි ඔබට දැන් රථවාහන තුලනය සෘජුවම පාලනය කරන ස්ක්රිප්ට් එකතු කළ හැක.
වීපීඑන්. IPSec VPN වලට අමතරව, NSX Edge සහාය දක්වයි:
- L2 VPN, භූගෝලීය වශයෙන් විසිරුණු අඩවි අතර ජාල දිගු කිරීමට ඔබට ඉඩ සලසයි. එවැනි VPN අවශ්ය වේ, උදාහරණයක් ලෙස, වෙනත් වෙබ් අඩවියකට යන විට, අථත්ය යන්ත්රය එම උපජාලයේම පවතින අතර එහි IP ලිපිනය රඳවා ගනී.
- SSL VPN Plus, පරිශීලකයින්ට ආයතනික ජාලයකට දුරස්ථව සම්බන්ධ වීමට ඉඩ සලසයි. vSphere මට්ටමේ එවැනි කාර්යයක් තිබුනා, නමුත් vCloud Director සඳහා මෙය නවෝත්පාදනයකි.
SSL සහතික. සහතික දැන් NSX Edge මත ස්ථාපනය කළ හැක. https සඳහා සහතිකයක් නොමැතිව සමතුලිතයෙකු අවශ්ය කාටද යන ප්රශ්නයට මෙය නැවත පැමිණේ.
වස්තු සමූහගත කිරීම. මෙම පටිත්තෙහි, ඇතැම් ජාල අන්තර්ක්රියා රීති අදාළ වන වස්තු කණ්ඩායම් නියම කර ඇත, උදාහරණයක් ලෙස, ෆයර්වෝල් නීති.
මෙම වස්තූන් IP සහ MAC ලිපින විය හැක.
ෆයර්වෝල් රීති නිර්මාණය කිරීමේදී භාවිතා කළ හැකි සේවා ලැයිස්තුවක් (ප්රොටෝකෝලය-වරාය සංයෝජනය) සහ යෙදුම් ද ඇත. නව සේවා සහ යෙදුම් එකතු කළ හැක්කේ vCD ද්වාර පරිපාලකයාට පමණි.
සංඛ්යා ලේඛන. සම්බන්ධතා සංඛ්යාලේඛන: ගේට්වේ, ෆයර්වෝල් සහ බැලන්සර් හරහා ගමන් කරන ගමනාගමනය.
එක් එක් IPSEC VPN සහ L2 VPN උමං සඳහා තත්ත්වය සහ සංඛ්යාලේඛන.
ලොග් කිරීම. Edge Settings ටැබය තුළ, ඔබට වාර්තාගත ලොග් සඳහා සේවාදායකය සැකසිය හැක. ලොග් කිරීම DNAT/SNAT, DHCP, Firewall, Routing, Balancer, IPsec VPN, SSL VPN Plus සඳහා ක්රියා කරයි.
එක් එක් වස්තුව/සේවාව සඳහා පහත ඇඟවීම් වර්ග තිබේ:
- දෝෂහරණය
- අනතුරු ඇඟවීම
- විවේචනාත්මක
- දෝෂය
- අවවාදයයි
- දැනුම්දීම
- තොරතුරු
NSX Edge Dimensions
විසඳන කාර්යයන් සහ VMware පරිමාව මත රඳා පවතී
NSX එජ්
(සංගත)
NSX එජ්
(මහා)
NSX එජ්
(Quad-Large)
NSX එජ්
(X-විශාල)
vCPU
1
2
4
6
මතකය
512MB
1GB
1GB
8GB
තැටිය
512MB
512MB
512MB
4.5GB + 4GB
උපන්දිනය
එක
යෙදුම, පරීක්ෂණය
දත්ත මධ්යස්ථානය
කුඩායි
හෝ සාමාන්යය
දත්ත මධ්යස්ථානය
පටවා ඇත
ගිනි පවුර
තුලනය කිරීම
L7 මට්ටමේ පැටවීම
පහත වගුව NSX Edge හි ප්රමාණය මත පදනම් වූ ජාල සේවා කාර්ය සාධන ප්රමිතික පෙන්වයි.
NSX එජ්
(සංගත)
NSX එජ්
(මහා)
NSX එජ්
(Quad-Large)
NSX එජ්
(X-විශාල)
අතුරු මුහුණත්
10
10
10
10
උප අතුරුමුහුණත් (කඳ)
200
200
200
200
NAT නීති
2,048
4,096
4,096
8,192
ARP ඇතුළත් කිරීම්
උඩින් ලියන තුරු
1,024
2,048
2,048
2,048
FW රීති
2000
2000
2000
2000
FW කාර්ය සාධනය
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP සංචිත
20,000
20,000
20,000
20,000
ECMP මාර්ග
8
8
8
8
ස්ථිතික මාර්ග
2,048
2,048
2,048
2,048
LB තටාක
64
64
64
1,024
LB අතථ්ය සේවාදායකයන්
64
64
64
1,024
LB Server/Pool
32
32
32
32
LB සෞඛ්ය පරීක්ෂණ
320
320
320
3,072
LB යෙදුම් රීති
4,096
4,096
4,096
4,096
කතා කිරීමට L2VPN සේවාලාභීන්ගේ මධ්යස්ථානය
5
5
5
5
සේවාලාභියා/සේවාදායකය සඳහා L2VPN ජාල
200
200
200
200
IPSec උමං මාර්ග
512
1,600
4,096
6,000
SSL VPN උමං මාර්ග
50
100
100
1,000
SSLVPN පුද්ගලික ජාල
16
16
16
16
සමගාමී සැසි
64,000
1,000,000
1,000,000
1,000,000
සැසි/දෙවන
8,000
50,000
50,000
50,000
LB ප්රතිදාන L7 ප්රොක්සි)
2.2Gbps
2.2Gbps
3Gbps
LB ප්රතිදාන L4 මාදිලිය)
6Gbps
6Gbps
6Gbps
LB සම්බන්ධතා/s (L7 ප්රොක්සි)
46,000
50,000
50,000
LB සමගාමී සම්බන්ධතා (L7 ප්රොක්සි)
8,000
60,000
60,000
LB සම්බන්ධතා/s (L4 මාදිලිය)
50,000
50,000
50,000
LB සමගාමී සම්බන්ධතා (L4 මාදිලිය)
600,000
1,000,000
1,000,000
BGP මාර්ග
20,000
50,000
250,000
250,000
BGP අසල්වැසියන්
10
20
100
100
BGP මාර්ග නැවත බෙදා හැර ඇත
කිසිදු සීමාව
කිසිදු සීමාව
කිසිදු සීමාව
කිසිදු සීමාව
OSPF මාර්ග
20,000
50,000
100,000
100,000
OSPF LSA ඇතුළත් කිරීම් Max 750 Type-1
20,000
50,000
100,000
100,000
OSPF යාබදතා
10
20
40
40
OSPF මාර්ග නැවත බෙදා හැර ඇත
2000
5000
20,000
20,000
මුළු මාර්ග
20,000
50,000
250,000
250,000
→
විශාල ප්රමාණයෙන් පමණක් ආරම්භ වන ඵලදායි අවස්ථා සඳහා NSX Edge මත තුලනය සංවිධානය කිරීම නිර්දේශ කර ඇති බව වගුව පෙන්වයි.
අද මට හැමදේම තියෙනවා. පහත කොටස් වලින්, මම එක් එක් NSX Edge ජාල සේවාවේ වින්යාසය හරහා විස්තරාත්මකව ගමන් කරමි.
මූලාශ්රය: www.habr.com