మీరు ఏదైనా ఫైర్వాల్ యొక్క కాన్ఫిగరేషన్ను చూస్తే, చాలా మటుకు మనం IP చిరునామాలు, పోర్ట్లు, ప్రోటోకాల్లు మరియు సబ్నెట్ల సమూహంతో కూడిన షీట్ని చూస్తాము. వనరులకు వినియోగదారు యాక్సెస్ కోసం నెట్వర్క్ భద్రతా విధానాలు ఈ విధంగా శాస్త్రీయంగా అమలు చేయబడతాయి. మొదట వారు కాన్ఫిగరేషన్లో క్రమాన్ని కొనసాగించడానికి ప్రయత్నిస్తారు, కాని ఉద్యోగులు డిపార్ట్మెంట్ నుండి డిపార్ట్మెంట్కు వెళ్లడం ప్రారంభిస్తారు, సర్వర్లు గుణించబడతాయి మరియు వారి పాత్రలను మార్చుతాయి, వేర్వేరు ప్రాజెక్ట్లకు ప్రాప్యత సాధారణంగా అనుమతించబడని చోట కనిపిస్తుంది మరియు వందలాది తెలియని మేక మార్గాలు ఉద్భవించాయి.
కొన్ని నియమాల పక్కన, మీరు అదృష్టవంతులైతే, “వాస్య నన్ను ఇలా చేయమని అడిగాడు” లేదా “ఇది DMZకి సంబంధించిన మార్గం” అనే వ్యాఖ్యలు ఉన్నాయి. నెట్వర్క్ అడ్మినిస్ట్రేటర్ నిష్క్రమించారు మరియు ప్రతిదీ పూర్తిగా అస్పష్టంగా మారుతుంది. అప్పుడు వాస్య యొక్క కాన్ఫిగర్ను క్లియర్ చేయాలని ఎవరైనా నిర్ణయించుకున్నారు మరియు SAP క్రాష్ అయింది, ఎందుకంటే వాస్య ఒకసారి పోరాట SAPని అమలు చేయడానికి ఈ యాక్సెస్ను కోరింది.
ఈరోజు నేను VMware NSX సొల్యూషన్ గురించి మాట్లాడతాను, ఇది ఫైర్వాల్ కాన్ఫిగర్లలో గందరగోళం లేకుండా నెట్వర్క్ కమ్యూనికేషన్ మరియు భద్రతా విధానాలను ఖచ్చితంగా వర్తింపజేయడంలో సహాయపడుతుంది. ఈ భాగంలో ఇంతకుముందు VMware కలిగి ఉన్న వాటితో పోలిస్తే ఏ కొత్త ఫీచర్లు కనిపించాయో నేను మీకు చూపిస్తాను.
VMWare NSX అనేది నెట్వర్క్ సేవల కోసం వర్చువలైజేషన్ మరియు సెక్యూరిటీ ప్లాట్ఫారమ్. NSX రూటింగ్, స్విచింగ్, లోడ్ బ్యాలెన్సింగ్, ఫైర్వాల్ సమస్యలను పరిష్కరిస్తుంది మరియు అనేక ఇతర ఆసక్తికరమైన విషయాలను చేయగలదు.
NSX అనేది VMware యొక్క స్వంత vCloud నెట్వర్కింగ్ మరియు సెక్యూరిటీ (vCNS) ఉత్పత్తి మరియు కొనుగోలు చేయబడిన Nicira NVPకి వారసుడు.
vCNS నుండి NSX వరకు
మునుపు, ఒక క్లయింట్ VMware vCloudపై నిర్మించిన క్లౌడ్లో ప్రత్యేక vCNS vShield ఎడ్జ్ వర్చువల్ మెషీన్ను కలిగి ఉంది. ఇది సరిహద్దు గేట్వే వలె పనిచేసింది, ఇక్కడ అనేక నెట్వర్క్ ఫంక్షన్లను కాన్ఫిగర్ చేయడం సాధ్యమైంది: NAT, DHCP, ఫైర్వాల్, VPN, లోడ్ బ్యాలెన్సర్, మొదలైనవి ఫైర్వాల్ మరియు NAT. నెట్వర్క్లో, వర్చువల్ మిషన్లు సబ్నెట్లలో ఒకదానితో ఒకటి స్వేచ్ఛగా సంభాషించుకుంటాయి. మీరు నిజంగా ట్రాఫిక్ను విభజించి జయించాలనుకుంటే, మీరు అప్లికేషన్ల యొక్క వ్యక్తిగత భాగాల కోసం (వివిధ వర్చువల్ మిషన్లు) ప్రత్యేక నెట్వర్క్ను తయారు చేయవచ్చు మరియు ఫైర్వాల్లో వాటి నెట్వర్క్ పరస్పర చర్య కోసం తగిన నియమాలను సెట్ చేయవచ్చు. కానీ ఇది చాలా కాలం, కష్టం మరియు రసహీనమైనది, ప్రత్యేకించి మీరు అనేక డజన్ల వర్చువల్ మిషన్లను కలిగి ఉన్నప్పుడు.
NSXలో, VMware హైపర్వైజర్ కెర్నల్లో నిర్మించిన డిస్ట్రిబ్యూటెడ్ ఫైర్వాల్ని ఉపయోగించి మైక్రో-సెగ్మెంటేషన్ భావనను అమలు చేసింది. ఇది IP మరియు MAC చిరునామాలకు మాత్రమే కాకుండా ఇతర వస్తువులకు కూడా భద్రత మరియు నెట్వర్క్ పరస్పర విధానాలను నిర్దేశిస్తుంది: వర్చువల్ మిషన్లు, అప్లికేషన్లు. ఒక సంస్థలో NSX అమలు చేయబడితే, ఈ వస్తువులు యాక్టివ్ డైరెక్టరీ నుండి వినియోగదారు లేదా వినియోగదారుల సమూహం కావచ్చు. అటువంటి ప్రతి వస్తువు దాని స్వంత భద్రతా లూప్లో, అవసరమైన సబ్నెట్లో, దాని స్వంత అనుకూలమైన DMZ :)తో మైక్రోసెగ్మెంట్గా మారుతుంది.
మునుపు, వనరుల యొక్క మొత్తం పూల్ కోసం ఒక భద్రతా చుట్టుకొలత మాత్రమే ఉంది, అంచు స్విచ్ ద్వారా రక్షించబడింది, కానీ NSXతో మీరు అదే నెట్వర్క్లో కూడా అనవసరమైన పరస్పర చర్యల నుండి ప్రత్యేక వర్చువల్ మెషీన్ను రక్షించవచ్చు.
ఒక ఎంటిటీ వేరే నెట్వర్క్కి మారితే భద్రత మరియు నెట్వర్కింగ్ విధానాలు అనుకూలిస్తాయి. ఉదాహరణకు, మేము డేటాబేస్ ఉన్న మెషీన్ను మరొక నెట్వర్క్ విభాగానికి లేదా మరొక కనెక్ట్ చేయబడిన వర్చువల్ డేటా సెంటర్కి తరలించినట్లయితే, ఈ వర్చువల్ మెషీన్ కోసం వ్రాసిన నియమాలు దాని కొత్త స్థానంతో సంబంధం లేకుండా వర్తింపజేయడం కొనసాగుతుంది. అప్లికేషన్ సర్వర్ ఇప్పటికీ డేటాబేస్తో కమ్యూనికేట్ చేయగలదు.
ఎడ్జ్ గేట్వే, vCNS vShield ఎడ్జ్, NSX ఎడ్జ్ ద్వారా భర్తీ చేయబడింది. ఇది పాత ఎడ్జ్లోని అన్ని జెంటిల్మెన్లీ ఫీచర్లతో పాటు కొన్ని కొత్త ఉపయోగకరమైన ఫీచర్లను కలిగి ఉంది. మేము వాటి గురించి మరింత మాట్లాడుతాము.
NSX ఎడ్జ్తో కొత్తగా ఏమి ఉంది?
NSX ఎడ్జ్ కార్యాచరణ ఆధారపడి ఉంటుంది NSX. వాటిలో ఐదు ఉన్నాయి: స్టాండర్డ్, ప్రొఫెషనల్, అడ్వాన్స్డ్, ఎంటర్ప్రైజ్, ప్లస్ రిమోట్ బ్రాంచ్ ఆఫీస్. కొత్త మరియు ఆసక్తికరమైన ప్రతిదీ అడ్వాన్స్డ్తో ప్రారంభించి మాత్రమే చూడవచ్చు. కొత్త ఇంటర్ఫేస్తో సహా, vCloud పూర్తిగా HTML5కి మారే వరకు (VMware వేసవి 2019కి హామీ ఇస్తుంది), కొత్త ట్యాబ్లో తెరవబడుతుంది.
ఫైర్వాల్. మీరు IP చిరునామాలు, నెట్వర్క్లు, గేట్వే ఇంటర్ఫేస్లు మరియు వర్చువల్ మిషన్లను ఆబ్జెక్ట్లుగా ఎంచుకోవచ్చు.
DHCP. ఈ నెట్వర్క్లోని వర్చువల్ మెషీన్లకు స్వయంచాలకంగా జారీ చేయబడే IP చిరునామాల పరిధిని కాన్ఫిగర్ చేయడంతో పాటు, NSX ఎడ్జ్ ఇప్పుడు క్రింది విధులను కలిగి ఉంది: బైండింగ్ и రిలే.
ట్యాబ్లో బైండింగ్స్ మీకు IP చిరునామా మారకూడదనుకుంటే, మీరు వర్చువల్ మెషీన్ యొక్క MAC చిరునామాను IP చిరునామాకు బంధించవచ్చు. ప్రధాన విషయం ఏమిటంటే, ఈ IP చిరునామా DHCP పూల్లో చేర్చబడలేదు.
ట్యాబ్లో రిలే DHCP సందేశాల రిలే భౌతిక మౌలిక సదుపాయాల DHCP సర్వర్లతో సహా vCloud డైరెక్టర్లో మీ సంస్థ వెలుపల ఉన్న DHCP సర్వర్లకు కాన్ఫిగర్ చేయబడింది.
రూటింగ్. vShield Edge స్టాటిక్ రూటింగ్ని మాత్రమే కాన్ఫిగర్ చేయగలదు. OSPF మరియు BGP ప్రోటోకాల్లకు మద్దతుతో డైనమిక్ రూటింగ్ ఇక్కడ కనిపించింది. ECMP (యాక్టివ్-యాక్టివ్) సెట్టింగ్లు కూడా అందుబాటులోకి వచ్చాయి, అంటే ఫిజికల్ రూటర్లకు యాక్టివ్-యాక్టివ్ ఫెయిల్ఓవర్.
OSPFని సెటప్ చేస్తోంది
BGPని సెటప్ చేస్తోంది
మరో కొత్త విషయం ఏమిటంటే వివిధ ప్రోటోకాల్ల మధ్య మార్గాల బదిలీని ఏర్పాటు చేయడం,
మార్గం పునఃపంపిణీ.
L4/L7 లోడ్ బ్యాలెన్సర్. HTTPs హెడర్ కోసం X-Forwarded-For పరిచయం చేయబడింది. అతను లేకుండా అందరూ ఏడ్చారు. ఉదాహరణకు, మీరు బ్యాలెన్స్ చేస్తున్న వెబ్సైట్ను కలిగి ఉన్నారు. ఈ హెడర్ను ఫార్వార్డ్ చేయకుండా, ప్రతిదీ పని చేస్తుంది, కానీ వెబ్ సర్వర్ గణాంకాలలో మీరు సందర్శకుల IP కాదు, కానీ బ్యాలెన్సర్ యొక్క IP. ఇప్పుడు అంతా సరిగ్గా ఉంది.
అలాగే అప్లికేషన్ రూల్స్ ట్యాబ్లో మీరు ఇప్పుడు ట్రాఫిక్ బ్యాలెన్సింగ్ను నేరుగా నియంత్రించే స్క్రిప్ట్లను జోడించవచ్చు.
vpn. IPSec VPNతో పాటు, NSX ఎడ్జ్ మద్దతు ఇస్తుంది:
- L2 VPN, ఇది భౌగోళికంగా చెదరగొట్టబడిన సైట్ల మధ్య నెట్వర్క్లను విస్తరించడానికి మిమ్మల్ని అనుమతిస్తుంది. అటువంటి VPN అవసరం, ఉదాహరణకు, మరొక సైట్కు వెళ్లేటప్పుడు, వర్చువల్ మెషీన్ అదే సబ్నెట్లో ఉంటుంది మరియు దాని IP చిరునామాను కలిగి ఉంటుంది.
- SSL VPN ప్లస్, ఇది వినియోగదారులను కార్పొరేట్ నెట్వర్క్కు రిమోట్గా కనెక్ట్ చేయడానికి అనుమతిస్తుంది. vSphere స్థాయిలో అటువంటి ఫంక్షన్ ఉంది, కానీ vCloud డైరెక్టర్ కోసం ఇది ఒక ఆవిష్కరణ.
SSL ప్రమాణపత్రాలు. సర్టిఫికెట్లను ఇప్పుడు NSX ఎడ్జ్లో ఇన్స్టాల్ చేయవచ్చు. https కోసం సర్టిఫికేట్ లేకుండా బ్యాలెన్సర్ ఎవరికి అవసరం అనే ప్రశ్న ఇది మళ్లీ వస్తుంది.
గ్రూపింగ్ ఆబ్జెక్ట్స్. ఈ ట్యాబ్లో, నిర్దిష్ట నెట్వర్క్ పరస్పర నియమాలు వర్తించే వస్తువుల సమూహాలు పేర్కొనబడ్డాయి, ఉదాహరణకు, ఫైర్వాల్ నియమాలు.
ఈ వస్తువులు IP మరియు MAC చిరునామాలు కావచ్చు.
ఫైర్వాల్ నియమాలను రూపొందించేటప్పుడు ఉపయోగించగల సేవల జాబితా (ప్రోటోకాల్-పోర్ట్ కలయిక) మరియు అప్లికేషన్లు కూడా ఉన్నాయి. vCD పోర్టల్ అడ్మినిస్ట్రేటర్ మాత్రమే కొత్త సేవలు మరియు అప్లికేషన్లను జోడించగలరు.
గణాంకాలు. కనెక్షన్ గణాంకాలు: గేట్వే, ఫైర్వాల్ మరియు బ్యాలెన్సర్ గుండా వెళ్లే ట్రాఫిక్.
ప్రతి IPSEC VPN మరియు L2 VPN టన్నెల్ కోసం స్థితి మరియు గణాంకాలు.
లాగింగ్. ఎడ్జ్ సెట్టింగ్ల ట్యాబ్లో, మీరు రికార్డింగ్ లాగ్ల కోసం సర్వర్ని సెట్ చేయవచ్చు. DNAT/SNAT, DHCP, ఫైర్వాల్, రూటింగ్, బాలన్సర్, IPsec VPN, SSL VPN ప్లస్ కోసం లాగింగ్ పని చేస్తుంది.
ప్రతి వస్తువు/సేవ కోసం క్రింది రకాల హెచ్చరికలు అందుబాటులో ఉన్నాయి:
- డీబగ్
- హెచ్చరిక
- క్లిష్టమైన
- లోపం
-హెచ్చరిక
- గమనించండి
- సమాచారం
NSX ఎడ్జ్ కొలతలు
పరిష్కరించబడుతున్న పనులు మరియు VMware వాల్యూమ్పై ఆధారపడి ఉంటుంది కింది పరిమాణాలలో NSX ఎడ్జ్ని సృష్టించండి:
NSX ఎడ్జ్
(కాంపాక్ట్)
NSX ఎడ్జ్
(పెద్దది)
NSX ఎడ్జ్
(క్వాడ్-లార్జ్)
NSX ఎడ్జ్
(X-పెద్దది)
vCPU
1
2
4
6
జ్ఞాపకశక్తి
512MB
1GB
1GB
8GB
డిస్క్
512MB
512MB
512MB
4.5GB + 4GB
అపాయింట్మెంట్
ఒకటి
అప్లికేషన్, పరీక్ష
డేటా సెంటర్
చిన్న
లేదా సగటు
డేటా సెంటర్
లోడ్ చేయబడింది
ఫైర్వాల్
సమతౌల్యానికి
స్థాయి L7 వద్ద లోడ్ అవుతుంది
NSX ఎడ్జ్ పరిమాణంపై ఆధారపడి నెట్వర్క్ సేవల యొక్క ఆపరేటింగ్ మెట్రిక్లు పట్టికలో క్రింద ఉన్నాయి.
NSX ఎడ్జ్
(కాంపాక్ట్)
NSX ఎడ్జ్
(పెద్దది)
NSX ఎడ్జ్
(క్వాడ్-లార్జ్)
NSX ఎడ్జ్
(X-పెద్దది)
ఇంటర్ఫేసెస్
10
10
10
10
సబ్ ఇంటర్ఫేస్లు (ట్రంక్)
200
200
200
200
NAT నియమాలు
2,048
4,096
4,096
8,192
ARP ఎంట్రీలు
ఓవర్రైట్ వరకు
1,024
2,048
2,048
2,048
FW నియమాలు
2000
2000
2000
2000
FW పనితీరు
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP పూల్స్
20,000
20,000
20,000
20,000
ECMP మార్గాలు
8
8
8
8
స్టాటిక్ మార్గాలు
2,048
2,048
2,048
2,048
LB పూల్స్
64
64
64
1,024
LB వర్చువల్ సర్వర్లు
64
64
64
1,024
LB సర్వర్/పూల్
32
32
32
32
LB ఆరోగ్య తనిఖీలు
320
320
320
3,072
LB అప్లికేషన్ నియమాలు
4,096
4,096
4,096
4,096
మాట్లాడటానికి L2VPN క్లయింట్స్ హబ్
5
5
5
5
ప్రతి క్లయింట్/సర్వర్కు L2VPN నెట్వర్క్లు
200
200
200
200
IPSec సొరంగాలు
512
1,600
4,096
6,000
SSLVPN సొరంగాలు
50
100
100
1,000
SSLVPN ప్రైవేట్ నెట్వర్క్లు
16
16
16
16
ఉమ్మడి సెషన్లు
64,000
1,000,000
1,000,000
1,000,000
సెషన్స్/సెకండ్
8,000
50,000
50,000
50,000
LB నిర్గమాంశ L7 ప్రాక్సీ)
2.2Gbps
2.2Gbps
3Gbps
LB నిర్గమాంశ L4 మోడ్)
6Gbps
6Gbps
6Gbps
LB కనెక్షన్లు/లు (L7 ప్రాక్సీ)
46,000
50,000
50,000
LB ఏకకాల కనెక్షన్లు (L7 ప్రాక్సీ)
8,000
60,000
60,000
LB కనెక్షన్లు/లు (L4 మోడ్)
50,000
50,000
50,000
LB ఏకకాల కనెక్షన్లు (L4 మోడ్)
600,000
1,000,000
1,000,000
BGP మార్గాలు
20,000
50,000
250,000
250,000
BGP నైబర్స్
10
20
100
100
BGP మార్గాలు పునఃపంపిణీ చేయబడ్డాయి
పరిమితి లేకుండా
పరిమితి లేకుండా
పరిమితి లేకుండా
పరిమితి లేకుండా
OSPF మార్గాలు
20,000
50,000
100,000
100,000
OSPF LSA ఎంట్రీలు గరిష్టంగా 750 టైప్-1
20,000
50,000
100,000
100,000
OSPF అడ్జసెన్సీలు
10
20
40
40
OSPF మార్గాలు పునఃపంపిణీ చేయబడ్డాయి
2000
5000
20,000
20,000
మొత్తం మార్గాలు
20,000
50,000
250,000
250,000
→
పెద్ద పరిమాణం నుండి మాత్రమే ఉత్పాదక దృశ్యాల కోసం NSX ఎడ్జ్లో బ్యాలెన్సింగ్ని నిర్వహించాలని సిఫార్సు చేయబడిందని పట్టిక చూపిస్తుంది.
ఈరోజు నా దగ్గర ఉన్నది అంతే. కింది భాగాలలో నేను ప్రతి NSX ఎడ్జ్ నెట్వర్క్ సేవను ఎలా కాన్ఫిగర్ చేయాలో వివరంగా తెలియజేస్తాను.
మూలం: www.habr.com