Ukiangalia usanidi wa ngome yoyote, basi uwezekano mkubwa tutaona laha iliyo na rundo la anwani za IP, bandari, itifaki na subnets. Hivi ndivyo sera za usalama za mtandao za ufikiaji wa watumiaji kwa rasilimali hutekelezwa kimsingi. Mara ya kwanza wanajaribu kudumisha utaratibu katika usanidi, lakini kisha wafanyikazi huanza kuhama kutoka idara hadi idara, seva huzidisha na kubadilisha majukumu yao, ufikiaji wa miradi tofauti huonekana ambapo kawaida hairuhusiwi, na mamia ya njia za mbuzi zisizojulikana zinaibuka.
Karibu na sheria zingine, ikiwa una bahati, kuna maoni "Vasya aliniuliza nifanye hivi" au "Hii ni kifungu cha DMZ." Msimamizi wa mtandao anaacha, na kila kitu kinakuwa wazi kabisa. Kisha mtu aliamua kufuta usanidi wa Vasya, na SAP ikaanguka, kwa sababu Vasya mara moja aliomba upatikanaji huu ili kuendesha SAP ya kupambana.
Leo nitazungumza juu ya suluhisho la VMware NSX, ambalo husaidia kutumia kwa usahihi sera za mawasiliano na usalama za mtandao bila machafuko katika usanidi wa firewall. Nitakuonyesha ni vipengele vipi vipya vimeonekana ikilinganishwa na VMware hapo awali ilikuwa na sehemu hii.
VMWare NSX ni jukwaa la uboreshaji na usalama kwa huduma za mtandao. NSX hutatua matatizo ya kuelekeza, kubadili, kusawazisha upakiaji, ngome na inaweza kufanya mambo mengine mengi ya kuvutia.
NSX ndiye mrithi wa bidhaa ya VMware ya VCloud Networking and Security (vCNS) na Nicira NVP iliyopatikana.
Kutoka vCNS hadi NSX
Hapo awali, mteja alikuwa na mashine tofauti ya vCNS vShield Edge katika wingu lililojengwa kwenye VMware vCloud. Ilifanya kazi kama lango la mpaka, ambapo iliwezekana kusanidi vitendaji vingi vya mtandao: NAT, DHCP, Firewall, VPN, sawazisha mzigo, n.k. vShield Edge ilipunguza mwingiliano wa mashine pepe na ulimwengu wa nje kulingana na sheria zilizoainishwa katika Firewall na NAT. Ndani ya mtandao, mashine pepe ziliwasiliana kwa uhuru ndani ya subnets. Ikiwa kweli unataka kugawanya na kushinda trafiki, unaweza kutengeneza mtandao tofauti kwa sehemu za kibinafsi za programu (mashine tofauti za mtandaoni) na kuweka sheria zinazofaa za mwingiliano wao wa mtandao kwenye ngome. Lakini hii ni ndefu, ngumu na haipendezi, haswa wakati una mashine kadhaa za mtandaoni.
Katika NSX, VMware ilitekeleza dhana ya kugawanya sehemu ndogo kwa kutumia ngome iliyosambazwa iliyojengwa ndani ya kerneli ya hypervisor. Inabainisha sera za usalama na mwingiliano wa mtandao sio tu kwa anwani za IP na MAC, lakini pia kwa vitu vingine: mashine za kawaida, programu. Ikiwa NSX itatumwa ndani ya shirika, vitu hivi vinaweza kuwa mtumiaji au kikundi cha watumiaji kutoka Saraka Inayotumika. Kila kitu kama hicho hubadilika kuwa sehemu ndogo katika kitanzi chake cha usalama, kwenye subnet inayohitajika, na DMZ yake ya kupendeza :).
Hapo awali, kulikuwa na mzunguko mmoja tu wa usalama kwa hifadhi nzima ya rasilimali, iliyolindwa na kubadili makali, lakini kwa NSX unaweza kulinda mashine tofauti ya virtual kutokana na mwingiliano usio wa lazima, hata ndani ya mtandao huo.
Sera za usalama na mitandao hubadilika ikiwa huluki itahamia mtandao tofauti. Kwa mfano, ikiwa tutahamisha mashine iliyo na hifadhidata hadi sehemu nyingine ya mtandao au hata kwenye kituo kingine cha data pepe kilichounganishwa, basi sheria zilizoandikwa kwa mashine hii pepe zitaendelea kutumika bila kujali eneo lake jipya. Seva ya programu bado itaweza kuwasiliana na hifadhidata.
Lango la makali lenyewe, vCNS vShield Edge, limebadilishwa na NSX Edge. Ina vipengele vyote vya kiungwana vya Edge ya zamani, pamoja na vipengele vichache vipya muhimu. Tutazungumza juu yao zaidi.
Nini kipya na NSX Edge?
Utendaji wa NSX Edge inategemea
firewall. Unaweza kuchagua anwani za IP, mitandao, violesura vya lango, na mashine pepe kama vitu ambavyo sheria zitatumika.
DHCP. Mbali na kusanidi anuwai ya anwani za IP ambazo zitatolewa kiotomatiki kwa mashine pepe kwenye mtandao huu, NSX Edge sasa ina kazi zifuatazo: Binding ΠΈ Relay.
Katika kichupo Zifunga Unaweza kufunga anwani ya MAC ya mashine pepe kwa anwani ya IP ikiwa unahitaji anwani ya IP ili usibadilike. Jambo kuu ni kwamba anwani hii ya IP haijajumuishwa kwenye Dimbwi la DHCP.
Katika kichupo Relay upeanaji wa ujumbe wa DHCP umesanidiwa kuwa seva za DHCP ambazo ziko nje ya shirika lako katika Mkurugenzi wa vCloud, ikijumuisha seva za DHCP za miundombinu halisi.
Kuelekeza. vShield Edge inaweza tu kusanidi uelekezaji tuli. Uelekezaji mahiri kwa kutumia itifaki za OSPF na BGP ulionekana hapa. Mipangilio ya ECMP (Inayotumika-Inayotumika) pia imepatikana, ambayo inamaanisha kushindwa-amilifu kwa vipanga njia halisi.
Kuanzisha OSPF
Kuanzisha BGP
Jambo lingine jipya ni kuanzisha uhamishaji wa njia kati ya itifaki tofauti,
ugawaji wa njia.
Kisawazisha cha Mzigo cha L4/L7. X-Forwarded-For ilianzishwa kwa kichwa cha HTTPs. Kila mtu alilia bila yeye. Kwa mfano, una tovuti ambayo unasawazisha. Bila kusambaza kichwa hiki, kila kitu kinafanya kazi, lakini katika takwimu za seva ya wavuti haukuona IP ya wageni, lakini IP ya balancer. Sasa kila kitu kiko sawa.
Pia katika kichupo cha Kanuni za Maombi sasa unaweza kuongeza hati ambazo zitadhibiti moja kwa moja kusawazisha trafiki.
vpn. Mbali na IPSec VPN, NSX Edge inasaidia:
- L2 VPN, ambayo hukuruhusu kunyoosha mitandao kati ya tovuti zilizotawanywa kijiografia. VPN kama hiyo inahitajika, kwa mfano, ili wakati wa kuhamia tovuti nyingine, mashine ya kawaida inabaki kwenye subnet sawa na kuhifadhi anwani yake ya IP.
- SSL VPN Plus, ambayo inaruhusu watumiaji kuunganishwa kwa mbali na mtandao wa shirika. Katika kiwango cha vSphere kulikuwa na kazi kama hiyo, lakini kwa Mkurugenzi wa vCloud hii ni uvumbuzi.
Vyeti vya SSL. Vyeti sasa vinaweza kusakinishwa kwenye NSX Edge. Hili linakuja tena kwa swali la nani alihitaji msawazishaji bila cheti cha https.
Kupanga Vitu. Katika kichupo hiki, makundi ya vitu yanatajwa ambayo sheria fulani za mwingiliano wa mtandao zitatumika, kwa mfano, sheria za firewall.
Vitu hivi vinaweza kuwa anwani za IP na MAC.
Pia kuna orodha ya huduma (mchanganyiko wa bandari-itifaki) na programu ambazo zinaweza kutumika wakati wa kuunda sheria za firewall. Msimamizi wa tovuti ya vCD pekee ndiye anayeweza kuongeza huduma na programu mpya.
Takwimu. Takwimu za muunganisho: trafiki inayopitia lango, ngome na mizani.
Hali na takwimu kwa kila IPSEC VPN na L2 VPN handaki.
Kuweka magogo. Katika kichupo cha Mipangilio ya Edge, unaweza kuweka seva kwa kumbukumbu za kurekodi. Uwekaji kumbukumbu hufanya kazi kwa DNAT/SNAT, DHCP, Firewall, uelekezaji, mizani, IPsec VPN, SSL VPN Plus.
Aina zifuatazo za arifa zinapatikana kwa kila kitu/huduma:
-Tatua
- Tahadhari
- Muhimu
- Hitilafu
- Onyo
- Taarifa
- Habari
Vipimo vya NSX Edge
Kulingana na kazi zinazotatuliwa na kiasi cha VMware
Sehemu ya NSX
(Inayoshikamana)
Sehemu ya NSX
(Kubwa)
Sehemu ya NSX
(Kubwa-Nne)
Sehemu ya NSX
(X-Kubwa)
vCPU
1
2
4
6
Kumbukumbu
512MB
1GB
1GB
8GB
Disk
512MB
512MB
512MB
4.5GB + 4GB
Uteuzi
Moja
maombi, mtihani
kituo cha data
Ndogo
au wastani
kituo cha data
Imepakiwa
firewall
Kusawazisha
mizigo kwa kiwango cha L7
Chini katika jedwali ni metrics ya uendeshaji wa huduma za mtandao kulingana na ukubwa wa NSX Edge.
Sehemu ya NSX
(Inayoshikamana)
Sehemu ya NSX
(Kubwa)
Sehemu ya NSX
(Kubwa-Nne)
Sehemu ya NSX
(X-Kubwa)
Interfaces
10
10
10
10
Violesura vidogo (Shina)
200
200
200
200
Kanuni za NAT
2,048
4,096
4,096
8,192
Maingizo ya ARP
Hadi Ibadilishwe
1,024
2,048
2,048
2,048
Sheria za FW
2000
2000
2000
2000
Utendaji wa FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Mabwawa ya DHCP
20,000
20,000
20,000
20,000
Njia za ECMP
8
8
8
8
Njia tuli
2,048
2,048
2,048
2,048
Mabwawa ya LB
64
64
64
1,024
Seva za LB Virtual
64
64
64
1,024
Seva ya LB/Dimbwi
32
32
32
32
LB Ukaguzi wa Afya
320
320
320
3,072
LB Sheria za Maombi
4,096
4,096
4,096
4,096
Kitovu cha Wateja cha L2VPN cha Kuzungumza
5
5
5
5
Mitandao ya L2VPN kwa kila Mteja/Seva
200
200
200
200
Vichungi vya IPSec
512
1,600
4,096
6,000
Vichungi vya SSLVPN
50
100
100
1,000
Mitandao ya Kibinafsi ya SSLVPN
16
16
16
16
Vikao Sanjari
64,000
1,000,000
1,000,000
1,000,000
Vipindi/Pili
8,000
50,000
50,000
50,000
Wakala wa LB throughput L7)
2.2Gbps
2.2Gbps
3Gbps
LB throughput Mode L4)
6Gbps
6Gbps
6Gbps
Viunganisho vya LB (Proksi ya L7)
46,000
50,000
50,000
Viunganisho vya LB Sambamba (Proksi ya L7)
8,000
60,000
60,000
Viunganisho vya LB (Njia ya L4)
50,000
50,000
50,000
Viunganisho vya LB Sambamba (Njia ya L4)
600,000
1,000,000
1,000,000
Njia za BGP
20,000
50,000
250,000
250,000
Majirani wa BGP
10
20
100
100
Njia za BGP Zimesambazwa Upya
No Limit
No Limit
No Limit
No Limit
Njia za OSPF
20,000
50,000
100,000
100,000
Viingilio vya OSPF LSA Max 750 Type-1
20,000
50,000
100,000
100,000
Viunga vya OSPF
10
20
40
40
Njia za OSPF Zimesambazwa Upya
2000
5000
20,000
20,000
Jumla ya Njia
20,000
50,000
250,000
250,000
β
Jedwali linaonyesha kwamba inashauriwa kuandaa kusawazisha kwenye NSX Edge kwa matukio ya uzalishaji tu kuanzia ukubwa Kubwa.
Hiyo ndiyo yote niliyo nayo kwa leo. Katika sehemu zifuatazo nitapitia kwa undani jinsi ya kusanidi kila huduma ya mtandao wa NSX Edge.
Chanzo: mapenzi.com