எந்த ஃபயர்வாலின் கட்டமைப்பையும் நீங்கள் பார்த்தால், பெரும்பாலும் ஐபி முகவரிகள், போர்ட்கள், நெறிமுறைகள் மற்றும் சப்நெட்கள் கொண்ட ஒரு தாளைக் காண்போம். ஆதாரங்களுக்கான பயனர் அணுகலுக்கான நெட்வொர்க் பாதுகாப்புக் கொள்கைகள் பாரம்பரியமாக செயல்படுத்தப்படுவது இதுதான். முதலில் அவர்கள் கட்டமைப்பில் ஒழுங்கை பராமரிக்க முயற்சி செய்கிறார்கள், ஆனால் ஊழியர்கள் துறையிலிருந்து துறைக்கு செல்லத் தொடங்குகிறார்கள், சேவையகங்கள் பெருகி தங்கள் பாத்திரங்களை மாற்றுகின்றன, வெவ்வேறு திட்டங்களுக்கான அணுகல் பொதுவாக அனுமதிக்கப்படாத இடங்களில் தோன்றும், மேலும் நூற்றுக்கணக்கான தெரியாத ஆடு பாதைகள் தோன்றும்.
சில விதிகளுக்கு அடுத்தபடியாக, நீங்கள் அதிர்ஷ்டசாலி என்றால், "வாஸ்யா என்னிடம் இதைச் செய்யச் சொன்னார்" அல்லது "இது DMZக்கான ஒரு பத்தியாகும்" என்ற கருத்துகள் உள்ளன. பிணைய நிர்வாகி வெளியேறுகிறார், மேலும் எல்லாம் முற்றிலும் தெளிவாக இல்லை. பின்னர் யாரோ வாஸ்யாவின் கட்டமைப்பை அழிக்க முடிவு செய்தனர், மேலும் SAP செயலிழந்தது, ஏனெனில் வாஸ்யா ஒருமுறை போர் SAP ஐ இயக்க இந்த அணுகலைக் கேட்டார்.
இன்று நான் VMware NSX தீர்வைப் பற்றி பேசுவேன், இது ஃபயர்வால் கட்டமைப்புகளில் குழப்பம் இல்லாமல் நெட்வொர்க் தொடர்பு மற்றும் பாதுகாப்புக் கொள்கைகளை துல்லியமாகப் பயன்படுத்த உதவுகிறது. இந்த பகுதியில் VMware முன்பு இருந்ததை விட என்ன புதிய அம்சங்கள் தோன்றியுள்ளன என்பதை நான் உங்களுக்குக் காண்பிப்பேன்.
VMWare NSX என்பது நெட்வொர்க் சேவைகளுக்கான மெய்நிகராக்கம் மற்றும் பாதுகாப்பு தளமாகும். என்எஸ்எக்ஸ் ரூட்டிங், மாறுதல், சுமை சமநிலை, ஃபயர்வால் போன்ற சிக்கல்களைத் தீர்க்கிறது மற்றும் பல சுவாரஸ்யமான விஷயங்களைச் செய்ய முடியும்.
NSX என்பது VMware இன் சொந்த vCloud நெட்வொர்க்கிங் மற்றும் செக்யூரிட்டி (vCNS) தயாரிப்பு மற்றும் வாங்கிய நிசிரா NVP ஆகியவற்றின் வாரிசு ஆகும்.
vCNS இலிருந்து NSX வரை
முன்னதாக, ஒரு கிளையன்ட் VMware vCloud இல் கட்டமைக்கப்பட்ட கிளவுட்டில் ஒரு தனி vCNS vShield எட்ஜ் மெய்நிகர் இயந்திரத்தை வைத்திருந்தார். இது ஒரு பார்டர் கேட்வேயாக செயல்பட்டது, அங்கு பல நெட்வொர்க் செயல்பாடுகளை உள்ளமைக்க முடிந்தது: NAT, DHCP, Firewall, VPN, load balancer, முதலியன. ஃபயர்வால் மற்றும் NAT. நெட்வொர்க்கிற்குள், மெய்நிகர் இயந்திரங்கள் சப்நெட்டுகளுக்குள் சுதந்திரமாக ஒருவருக்கொருவர் தொடர்பு கொள்கின்றன. நீங்கள் உண்மையில் டிராஃபிக்கைப் பிரித்து வெற்றிபெற விரும்பினால், பயன்பாடுகளின் தனிப்பட்ட பகுதிகளுக்கு (வெவ்வேறு மெய்நிகர் இயந்திரங்கள்) தனி நெட்வொர்க்கை உருவாக்கலாம் மற்றும் ஃபயர்வாலில் அவற்றின் பிணைய தொடர்புக்கு பொருத்தமான விதிகளை அமைக்கலாம். ஆனால் இது நீண்டது, கடினமானது மற்றும் ஆர்வமற்றது, குறிப்பாக உங்களிடம் பல டஜன் மெய்நிகர் இயந்திரங்கள் இருக்கும்போது.
NSX இல், ஹைப்பர்வைசர் கர்னலில் கட்டமைக்கப்பட்ட விநியோகிக்கப்பட்ட ஃபயர்வாலைப் பயன்படுத்தி மைக்ரோ-பிரிவு என்ற கருத்தை VMware செயல்படுத்தியது. இது IP மற்றும் MAC முகவரிகளுக்கு மட்டும் பாதுகாப்பு மற்றும் பிணைய தொடர்பு கொள்கைகளை குறிப்பிடுகிறது, ஆனால் மற்ற பொருள்களுக்கும்: மெய்நிகர் இயந்திரங்கள், பயன்பாடுகள். ஒரு நிறுவனத்திற்குள் NSX பயன்படுத்தப்பட்டால், இந்த பொருள்கள் செயலில் உள்ள கோப்பகத்தில் இருந்து பயனர் அல்லது பயனர்களின் குழுவாக இருக்கலாம். அத்தகைய ஒவ்வொரு பொருளும் அதன் சொந்த பாதுகாப்பு வளையத்தில், தேவையான சப்நெட்டில், அதன் சொந்த வசதியான DMZ உடன் மைக்ரோ செக்மெண்டாக மாறும் :).
முன்பு, முழு வளங்களுக்கும் ஒரே ஒரு பாதுகாப்பு சுற்றளவு மட்டுமே இருந்தது, இது ஒரு விளிம்பு சுவிட்ச் மூலம் பாதுகாக்கப்பட்டது, ஆனால் NSX மூலம் நீங்கள் ஒரு தனி மெய்நிகர் இயந்திரத்தை தேவையற்ற தொடர்புகளிலிருந்து, அதே நெட்வொர்க்கில் இருந்தும் பாதுகாக்க முடியும்.
ஒரு நிறுவனம் வேறு நெட்வொர்க்கிற்கு மாறினால் பாதுகாப்பு மற்றும் நெட்வொர்க்கிங் கொள்கைகள் மாற்றியமைக்கப்படும். எடுத்துக்காட்டாக, தரவுத்தளத்துடன் கூடிய கணினியை வேறொரு பிணையப் பிரிவுக்கு அல்லது இணைக்கப்பட்ட மற்றொரு மெய்நிகர் தரவு மையத்திற்கு நகர்த்தினால், இந்த மெய்நிகர் இயந்திரத்திற்கு எழுதப்பட்ட விதிகள் அதன் புதிய இருப்பிடத்தைப் பொருட்படுத்தாமல் தொடர்ந்து பொருந்தும். பயன்பாட்டு சேவையகம் இன்னும் தரவுத்தளத்துடன் தொடர்பு கொள்ள முடியும்.
எட்ஜ் கேட்வே, vCNS vShield Edge, NSX எட்ஜ் மூலம் மாற்றப்பட்டது. இது பழைய எட்ஜின் அனைத்து ஜென்டில்மேன் அம்சங்களையும், மேலும் சில புதிய பயனுள்ள அம்சங்களையும் கொண்டுள்ளது. அவற்றைப் பற்றி மேலும் பேசுவோம்.
NSX எட்ஜில் புதிதாக என்ன இருக்கிறது?
NSX எட்ஜ் செயல்பாடு சார்ந்துள்ளது
ஃபயர்வால். நீங்கள் ஐபி முகவரிகள், நெட்வொர்க்குகள், கேட்வே இடைமுகங்கள் மற்றும் மெய்நிகர் இயந்திரங்களை விதிகள் பயன்படுத்தப்படும் பொருள்களாக தேர்ந்தெடுக்கலாம்.
DHCP. இந்த நெட்வொர்க்கில் உள்ள மெய்நிகர் இயந்திரங்களுக்கு தானாக வழங்கப்படும் IP முகவரிகளின் வரம்பை உள்ளமைப்பதைத் தவிர, NSX Edge இப்போது பின்வரும் செயல்பாடுகளைக் கொண்டுள்ளது: பிணைப்பு и ரிலே.
தாவலில் பிணைப்புகள் IP முகவரி மாறாமல் இருக்க வேண்டுமெனில், மெய்நிகர் இயந்திரத்தின் MAC முகவரியை ஐபி முகவரியுடன் இணைக்கலாம். முக்கிய விஷயம் என்னவென்றால், இந்த ஐபி முகவரி DHCP பூலில் சேர்க்கப்படவில்லை.
தாவலில் ரிலே DHCP செய்திகளின் ரிலே உங்கள் நிறுவனத்திற்கு வெளியே உள்ள vCloud இயக்குனரில் உள்ள DHCP சேவையகங்களுடன் கட்டமைக்கப்பட்டுள்ளது, இதில் இயற்பியல் உள்கட்டமைப்பின் DHCP சர்வர்கள் அடங்கும்.
ரூட்டிங். vShield Edge ஆனது நிலையான ரூட்டிங் மட்டுமே உள்ளமைக்க முடியும். OSPF மற்றும் BGP நெறிமுறைகளுக்கான ஆதரவுடன் டைனமிக் ரூட்டிங் இங்கே தோன்றியது. ECMP (ஆக்டிவ்-ஆக்டிவ்) அமைப்புகளும் கிடைத்துள்ளன, அதாவது இயற்பியல் திசைவிகளுக்கு செயலில் செயலில் தோல்வி.
OSPF ஐ அமைத்தல்
BGP ஐ அமைத்தல்
மற்றொரு புதிய விஷயம், வெவ்வேறு நெறிமுறைகளுக்கு இடையில் வழிகளை மாற்றுவது,
பாதை மறுபகிர்வு.
L4/L7 லோட் பேலன்சர். HTTPs தலைப்புக்காக X-Forwarded-For அறிமுகப்படுத்தப்பட்டது. அவர் இல்லாமல் அனைவரும் அழுதனர். உதாரணமாக, நீங்கள் சமநிலைப்படுத்தும் இணையதளம் உள்ளது. இந்த தலைப்பை அனுப்பாமல், எல்லாம் வேலை செய்யும், ஆனால் வலை சேவையக புள்ளிவிவரங்களில் நீங்கள் பார்வையாளர்களின் ஐபி அல்ல, ஆனால் பேலன்சரின் ஐபியைப் பார்த்தீர்கள். இப்போது எல்லாம் சரியாகிவிட்டது.
பயன்பாட்டு விதிகள் தாவலில் இப்போது டிராஃபிக் சமநிலையை நேரடியாகக் கட்டுப்படுத்தும் ஸ்கிரிப்ட்களைச் சேர்க்கலாம்.
வி.பி.என். IPSec VPN உடன், NSX Edge ஆதரிக்கிறது:
- L2 VPN, இது புவியியல் ரீதியாக சிதறடிக்கப்பட்ட தளங்களுக்கு இடையில் நெட்வொர்க்குகளை நீட்டிக்க உங்களை அனுமதிக்கிறது. அத்தகைய VPN தேவைப்படுகிறது, எடுத்துக்காட்டாக, மற்றொரு தளத்திற்குச் செல்லும்போது, மெய்நிகர் இயந்திரம் அதே சப்நெட்டில் இருக்கும் மற்றும் அதன் ஐபி முகவரியைத் தக்க வைத்துக் கொள்ளும்.
- SSL VPN Plus, இது பயனர்களை கார்ப்பரேட் நெட்வொர்க்குடன் தொலைவிலிருந்து இணைக்க அனுமதிக்கிறது. VSphere மட்டத்தில் அத்தகைய செயல்பாடு இருந்தது, ஆனால் vCloud இயக்குனருக்கு இது ஒரு கண்டுபிடிப்பு.
SSL சான்றிதழ்கள். சான்றிதழ்களை இப்போது NSX எட்ஜில் நிறுவலாம். இது மீண்டும் https க்கு சான்றிதழ் இல்லாமல் இருப்பவர் யாருக்கு தேவை என்ற கேள்விக்கு வருகிறது.
பொருள்களை தொகுத்தல். இந்தத் தாவலில், சில நெட்வொர்க் தொடர்பு விதிகள் பொருந்தும் பொருள்களின் குழுக்கள் குறிப்பிடப்பட்டுள்ளன, எடுத்துக்காட்டாக, ஃபயர்வால் விதிகள்.
இந்த பொருள்கள் IP மற்றும் MAC முகவரிகளாக இருக்கலாம்.
ஃபயர்வால் விதிகளை உருவாக்கும் போது பயன்படுத்தக்கூடிய சேவைகள் (நெறிமுறை-போர்ட் கலவை) மற்றும் பயன்பாடுகளின் பட்டியல் உள்ளது. vCD போர்டல் நிர்வாகி மட்டுமே புதிய சேவைகள் மற்றும் பயன்பாடுகளைச் சேர்க்க முடியும்.
புள்ளிவிவரங்கள். இணைப்பு புள்ளிவிவரங்கள்: கேட்வே, ஃபயர்வால் மற்றும் பேலன்சர் வழியாக செல்லும் போக்குவரத்து.
ஒவ்வொரு IPSEC VPN மற்றும் L2 VPN சுரங்கப்பாதைக்கான நிலை மற்றும் புள்ளிவிவரங்கள்.
பதிவு செய்தல். எட்ஜ் செட்டிங்ஸ் டேப்பில், பதிவுகளை பதிவு செய்ய சர்வரை அமைக்கலாம். DNAT/SNAT, DHCP, Firewall, Routing, balancer, IPsec VPN, SSL VPN Plus ஆகியவற்றுக்கான பதிவு வேலை செய்கிறது.
ஒவ்வொரு பொருள்/சேவைக்கும் பின்வரும் வகையான விழிப்பூட்டல்கள் உள்ளன:
- பிழைத்திருத்தம்
-எச்சரிக்கை
- விமர்சனம்
- பிழை
- எச்சரிக்கை
- அறிவிப்பு
- தகவல்
NSX எட்ஜ் பரிமாணங்கள்
தீர்க்கப்படும் பணிகள் மற்றும் VMware இன் அளவைப் பொறுத்து
என்எஸ்எக்ஸ் எட்ஜ்
(கச்சிதமான)
என்எஸ்எக்ஸ் எட்ஜ்
(பெரிய)
என்எஸ்எக்ஸ் எட்ஜ்
(குவாட்-பெரிய)
என்எஸ்எக்ஸ் எட்ஜ்
(எக்ஸ்-பெரியது)
vCPU
1
2
4
6
ஞாபகம்
512MB
1GB
1GB
8GB
வட்டு
512MB
512MB
512MB
4.5GB + 4 ஜி.பை.
நியமனம்
ஒன்று
விண்ணப்பம், சோதனை
தகவல் மையம்
சிறிய
அல்லது சராசரி
தகவல் மையம்
ஏற்றப்பட்டது
ஃபயர்வால்
சமநிலைப்படுத்துதல்
நிலை L7 இல் ஏற்றுகிறது
NSX எட்ஜின் அளவைப் பொறுத்து நெட்வொர்க் சேவைகளின் இயக்க அளவீடுகள் அட்டவணையில் கீழே உள்ளன.
என்எஸ்எக்ஸ் எட்ஜ்
(கச்சிதமான)
என்எஸ்எக்ஸ் எட்ஜ்
(பெரிய)
என்எஸ்எக்ஸ் எட்ஜ்
(குவாட்-பெரிய)
என்எஸ்எக்ஸ் எட்ஜ்
(எக்ஸ்-பெரியது)
முகப்புகள்
10
10
10
10
துணை இடைமுகங்கள் (ட்ரங்க்)
200
200
200
200
NAT விதிகள்
2,048
4,096
4,096
8,192
ARP உள்ளீடுகள்
மேலெழுதும் வரை
1,024
2,048
2,048
2,048
FW விதிகள்
2000
2000
2000
2000
FW செயல்திறன்
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP குளங்கள்
20,000
20,000
20,000
20,000
ECMP பாதைகள்
8
8
8
8
நிலையான வழிகள்
2,048
2,048
2,048
2,048
எல்பி குளங்கள்
64
64
64
1,024
LB மெய்நிகர் சேவையகங்கள்
64
64
64
1,024
எல்பி சர்வர்/குளம்
32
32
32
32
LB சுகாதார சோதனைகள்
320
320
320
3,072
LB விண்ணப்ப விதிகள்
4,096
4,096
4,096
4,096
பேசுவதற்கு L2VPN கிளையண்ட்ஸ் ஹப்
5
5
5
5
ஒரு கிளையண்ட்/சேவையகத்திற்கான L2VPN நெட்வொர்க்குகள்
200
200
200
200
IPSec சுரங்கங்கள்
512
1,600
4,096
6,000
SSLVPN சுரங்கங்கள்
50
100
100
1,000
SSLVPN தனியார் நெட்வொர்க்குகள்
16
16
16
16
ஒரே நேரத்தில் அமர்வுகள்
64,000
1,000,000
1,000,000
1,000,000
அமர்வுகள்/இரண்டாம்
8,000
50,000
50,000
50,000
LB த்ரோபுட் L7 ப்ராக்ஸி)
2.2Gbps
2.2Gbps
3Gbps
LB த்ரோபுட் L4 பயன்முறை)
6Gbps
6Gbps
6Gbps
LB இணைப்புகள்/கள் (L7 ப்ராக்ஸி)
46,000
50,000
50,000
LB ஒரே நேரத்தில் இணைப்புகள் (L7 ப்ராக்ஸி)
8,000
60,000
60,000
LB இணைப்புகள்/கள் (L4 பயன்முறை)
50,000
50,000
50,000
LB ஒரே நேரத்தில் இணைப்புகள் (L4 பயன்முறை)
600,000
1,000,000
1,000,000
BGP வழிகள்
20,000
50,000
250,000
250,000
பிஜிபி அண்டை நாடுகள்
10
20
100
100
BGP வழிகள் மறுபகிர்வு செய்யப்பட்டது
எல்லை இல்லாத
எல்லை இல்லாத
எல்லை இல்லாத
எல்லை இல்லாத
OSPF வழிகள்
20,000
50,000
100,000
100,000
OSPF LSA உள்ளீடுகள் அதிகபட்சம் 750 வகை-1
20,000
50,000
100,000
100,000
OSPF அருகாமைகள்
10
20
40
40
OSPF வழிகள் மறுபகிர்வு செய்யப்பட்டது
2000
5000
20,000
20,000
மொத்த வழிகள்
20,000
50,000
250,000
250,000
→
NSX எட்ஜில் சமநிலையை ஒழுங்கமைக்க பரிந்துரைக்கப்படுகிறது என்று அட்டவணை காட்டுகிறது.
இன்றைக்கு என்னிடம் அவ்வளவுதான். ஒவ்வொரு NSX எட்ஜ் நெட்வொர்க் சேவையையும் எவ்வாறு கட்டமைப்பது என்பதை பின்வரும் பகுதிகளில் விரிவாகப் பார்க்கிறேன்.
ஆதாரம்: www.habr.com