Агар шумо ба конфигуратсияи ягон брандмауэр нигоҳ кунед, пас эҳтимолан мо варақеро бо як қатор суроғаҳои IP, портҳо, протоколҳо ва зершабакаҳо мебинем. Ин аст, ки сиёсати амнияти шабакавӣ барои дастрасии корбар ба захираҳо ба таври классикӣ амалӣ карда мешавад. Дар аввал онҳо кӯшиш мекунанд, ки тартиботро дар конфигуратсия нигоҳ доранд, аммо баъд кормандон аз як шӯъба ба шӯъба ҳаракат мекунанд, серверҳо афзоиш меёбанд ва нақшҳои худро иваз мекунанд, дастрасӣ ба лоиҳаҳои гуногун дар ҷое пайдо мешавад, ки онҳо одатан иҷозат дода намешаванд ва садҳо роҳҳои бузҳои номаълум пайдо мешаванд.
Дар паҳлӯи баъзе қоидаҳо, агар шумо хушбахт бошед, шарҳҳо мавҷуданд "Вася аз ман хоҳиш кард, ки ин корро кунам" ё "Ин гузаргоҳ ба DMZ аст." Мудири шабака хориҷ мешавад ва ҳама чиз комилан норавшан мешавад. Пас аз он касе тасмим гирифт, ки конфигуратсияи Васяро тоза кунад ва SAP ба садама дучор шуд, зеро Вася боре аз ин дастрасӣ барои идора кардани SAP-и ҷангӣ дархост кард.
Имрӯз ман дар бораи ҳалли VMware NSX сӯҳбат хоҳам кард, ки барои ба таври дақиқ татбиқ кардани сиёсати алоқаи шабакавӣ ва бехатарӣ бидуни иштибоҳ дар конфигуратсияҳои брандмауэр кӯмак мекунад. Ман ба шумо нишон медиҳам, ки чӣ гуна хусусиятҳои нав дар муқоиса бо он чизе, ки VMware қаблан дар ин қисм дошт, пайдо шудаанд.
VMWare NSX як платформаи виртуализатсия ва амният барои хидматҳои шабакавӣ мебошад. NSX мушкилоти масирсозӣ, гузариш, мувозинати сарборӣ, брандмауэрро ҳал мекунад ва метавонад бисёр чизҳои ҷолибро иҷро кунад.
NSX вориси маҳсулоти худи vCloud Networking and Security (vCNS) VMware ва Nicira NVP-и ба даст овардашуда мебошад.
Аз vCNS ба NSX
Қаблан, муштарӣ мошини алоҳидаи виртуалии vCNS vShield Edge дар абре, ки дар VMware vCloud сохта шудааст, дошт. Он ҳамчун дарвозаи сарҳадӣ амал мекард, ки дар он бисёр вазифаҳои шабакаро танзим кардан мумкин буд: NAT, DHCP, Firewall, VPN, баланскунандаи бор ва ғайра. vShield Edge ҳамкории мошини маҷозӣ бо ҷаҳони берунаро тибқи қоидаҳои дар Сипар ва NAT. Дар дохили шабака, мошинҳои виртуалӣ бо ҳам дар дохили зершабакаҳо озодона муошират мекарданд. Агар шумо воқеан хоҳед, ки трафикро тақсим кунед ва ғалаба кунед, шумо метавонед барои қисмҳои алоҳидаи барномаҳо (мошинҳои гуногуни виртуалӣ) шабакаи алоҳида созед ва қоидаҳои мувофиқро барои ҳамкории шабакавии онҳо дар брандмауэр муқаррар кунед. Аммо ин дароз, душвор ва ҷолиб нест, хусусан вақте ки шумо якчанд мошини виртуалӣ доред.
Дар NSX, VMware консепсияи микросегментатсияро бо истифода аз девори тақсимшуда, ки дар ядрои гипервизор сохта шудааст, амалӣ кард. Он сиёсати амният ва ҳамкории шабакаро на танҳо барои суроғаҳои IP ва MAC, балки барои дигар объектҳо: мошинҳои виртуалӣ, барномаҳо муайян мекунад. Агар NSX дар дохили созмон ҷойгир карда шавад, ин объектҳо метавонанд корбар ё гурӯҳи корбарон аз Active Directory бошанд. Ҳар як чунин объект ба як микросегмент дар ҳалқаи амниятии худ, дар зершабакаи зарурӣ бо DMZ бароҳати худ табдил меёбад :).
Пештар, барои тамоми ҳавзи захираҳо танҳо як периметри амниятӣ мавҷуд буд, ки бо гузариши канор муҳофизат карда мешуд, аммо бо NSX шумо метавонед як мошини алоҳидаи виртуалиро аз ҳамкории нолозим, ҳатто дар дохили як шабака муҳофизат кунед.
Сиёсати амният ва шабакавӣ дар сурати кӯчидан ба шабакаи дигар мутобиқ мешаванд. Масалан, агар мо мошини дорои махзани маълумотро ба сегменти дигари шабака ё ҳатто ба дигар маркази додаҳои виртуалии пайваст кӯчонем, он гоҳ қоидаҳое, ки барои ин мошини маҷозӣ навишта шудаанд, новобаста аз макони нави он татбиқ мешаванд. Сервери барнома ҳоло ҳам метавонад бо пойгоҳи додаҳо муошират кунад.
Худи дарвозаи канори, vCNS vShield Edge, бо NSX Edge иваз карда шудааст. Он дорои тамоми хусусиятҳои ҷанобононаи Edge кӯҳна ва инчунин якчанд хусусиятҳои нави муфид мебошад. Мо минбаъд дар бораи онҳо сӯҳбат хоҳем кард.
Бо NSX Edge чӣ нав аст?
Функсияи NSX Edge аз он вобаста аст NSX. Панҷтои онҳо вуҷуд доранд: Стандарт, касбӣ, пешрафта, корхона, Филиали дурдаст. Ҳама чизи нав ва ҷолибро танҳо аз Advanced оғоз кардан мумкин аст. Аз ҷумла интерфейси нав, ки то он даме, ки vCloud пурра ба HTML5 гузарад (VMware тобистони соли 2019 ваъда медиҳад), дар ҷадвали нав кушода мешавад.
Сипар. Шумо метавонед суроғаҳои IP, шабакаҳо, интерфейсҳои шлюз ва мошинҳои виртуалиро ҳамчун объектҳое интихоб кунед, ки ба онҳо қоидаҳо татбиқ карда мешаванд.
DHCP. Илова ба танзим кардани доираи суроғаҳои IP, ки ба мошинҳои виртуалӣ дар ин шабака ба таври худкор дода мешаванд, NSX Edge ҳоло вазифаҳои зеринро дорад: ҳатмӣ и мепайвандад.
Дар ҷадвал Пайвастшавӣ Шумо метавонед суроғаи MAC-и мошини виртуалиро ба суроғаи IP пайваст кунед, агар ба шумо суроғаи IP иваз нашавад. Муҳим он аст, ки ин суроғаи IP ба ҳавзи DHCP дохил карда нашудааст.
Дар ҷадвал мепайвандад интиқоли паёмҳои DHCP ба серверҳои DHCP, ки берун аз ташкилоти шумо дар vCloud Director ҷойгир шудаанд, аз ҷумла серверҳои DHCP-и инфрасохтори физикӣ танзим карда шудааст.
Маршрут. vShield Edge танҳо метавонад масири статикиро танзим кунад. Дар ин ҷо масири динамикӣ бо дастгирии протоколҳои OSPF ва BGP пайдо шуд. Танзимоти ECMP (Active-active) низ дастрас шуданд, ки маънои интиқоли фаъол-фаъолро ба роутерҳои физикӣ дорад.
Танзими OSPF
Танзими BGP
Дигар чизи нав ин ташкили интиқоли хатсайрҳо байни протоколҳои гуногун мебошад,
тақсимоти масир.
L4/L7 Тавозуни сарборӣ. X-Forwarded-For барои сарлавҳаи HTTPs ҷорӣ карда шуд. Ҳама бе ӯ гиря мекарданд. Масалан, шумо вебсайте доред, ки онро мувозинат мекунед. Бе фиристодани ин сарлавҳа ҳама чиз кор мекунад, аммо дар омори веб-сервер шумо на IP-и меҳмонон, балки IP-и мувозинатро дидед. Акнун ҳама чиз дуруст аст.
Инчунин дар ҷадвали Қоидаҳои Ариза акнун шумо метавонед скриптҳоро илова кунед, ки мустақиман тавозуни трафикро назорат мекунанд.
vpn. Илова ба IPSec VPN, NSX Edge:
- L2 VPN, ки ба шумо имкон медиҳад, ки шабакаҳоро байни сайтҳои аз ҷиҳати ҷуғрофӣ пароканда васеъ кунед. Чунин VPN лозим аст, масалан, барои он ки ҳангоми гузаштан ба сайти дигар мошини виртуалӣ дар ҳамон зершабака боқӣ мемонад ва суроғаи IP-и худро нигоҳ дорад.
- SSL VPN Plus, ки ба корбарон имкон медиҳад, ки аз фосилаи дур ба шабакаи корпоративӣ пайваст шаванд. Дар сатҳи vSphere чунин функсия вуҷуд дошт, аммо барои vCloud Director ин як навоварист.
сертификатҳои SSL. Акнун сертификатҳоро дар NSX Edge насб кардан мумкин аст. Ин боз ба саволе меояд, ки ба кӣ тавозуни бидуни сертификат барои https лозим буд.
Гурӯҳбандии объектҳо. Дар ин ҷадвал, гурӯҳҳои объектҳо муайян карда мешаванд, ки барои онҳо қоидаҳои муайяни ҳамкории шабакавӣ татбиқ мешаванд, масалан, қоидаҳои брандмауэр.
Ин объектҳо метавонанд суроғаҳои IP ва MAC бошанд.
Инчунин рӯйхати хидматҳо (комбинатсияи протокол-порт) ва барномаҳое мавҷуданд, ки ҳангоми эҷоди қоидаҳои брандмауэр истифода мешаванд. Танҳо мудири портали vCD метавонад хидматҳо ва барномаҳои нав илова кунад.
Статистика. Омори пайвастшавӣ: трафике, ки тавассути шлюз, девори девор ва балансатор мегузарад.
Ҳолат ва омор барои ҳар як нақби IPSEC VPN ва L2 VPN.
Сабткунї. Дар ҷадвали Танзимоти Edge, шумо метавонед серверро барои сабти гузоришҳо насб кунед. Гузариш барои DNAT/SNAT, DHCP, Сипар, масир, мувозинат, IPsec VPN, SSL VPN Plus кор мекунад.
Барои ҳар як объект/хизмат намудҳои зерини огоҳиҳо мавҷуданд:
— Ислоҳот
— Огоҳӣ
— Танқидӣ
- Хатогӣ
— Огоҳӣ
— Огоҳӣ
— Маълумот
Андозаҳои NSX Edge
Вобаста ба вазифаҳои ҳалшаванда ва ҳаҷми VMware NSX Edge -ро дар андозаҳои зерин эҷод кунед:
NSX Edge
(Паймон)
NSX Edge
(калон)
NSX Edge
(Чоргона-калон)
NSX Edge
(X-калон)
vCPU
1
2
4
6
хотира
512MB
1GB
1GB
8GB
диск
512MB
512MB
512MB
4.5GB + 4GB
Таъинот
Як
ариза, озмоиш
маркази маълумот
Хурд
ё миёна
маркази маълумот
Бор карда шуд
девори девор
Тавозун
борҳо дар сатҳи L7
Дар зер дар ҷадвал нишондиҳандаҳои амалиётии хидматҳои шабакавӣ вобаста ба андозаи NSX Edge оварда шудаанд.
NSX Edge
(Паймон)
NSX Edge
(калон)
NSX Edge
(Чоргона-калон)
NSX Edge
(X-калон)
интерфейсҳои
10
10
10
10
Зер-интерфейсҳо (Танҳо)
200
200
200
200
Қоидаҳои NAT
2,048
4,096
4,096
8,192
Вурудҳои ARP
То аз навнависӣ
1,024
2,048
2,048
2,048
Қоидаҳои FW
2000
2000
2000
2000
Фаъолияти FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Ҳавзҳои DHCP
20,000
20,000
20,000
20,000
Роҳҳои ECMP
8
8
8
8
Роҳҳои статикӣ
2,048
2,048
2,048
2,048
Ҳавзҳои LB
64
64
64
1,024
Серверҳои виртуалии LB
64
64
64
1,024
Сервери LB / Ҳавз
32
32
32
32
Санҷиши саломатии LB
320
320
320
3,072
Қоидаҳои дархости LB
4,096
4,096
4,096
4,096
Маркази муштариёни L2VPN барои гуфтугӯ
5
5
5
5
Шабакаҳои L2VPN барои як муштарӣ/сервер
200
200
200
200
Туннелҳои IPSec
512
1,600
4,096
6,000
Нақбҳои SSLVPN
50
100
100
1,000
Шабакаҳои хусусии SSLVPN
16
16
16
16
Ҷаласаҳои ҳамзамон
64,000
1,000,000
1,000,000
1,000,000
Сессияҳо/Дуюм
8,000
50,000
50,000
50,000
Proxy LB Throughput L7)
2.2Gbps
2.2Gbps
3Gbps
Ҳолати интиқоли LB L4)
6Gbps
6Gbps
6Gbps
Пайвастҳои LB/s (L7 Proxy)
46,000
50,000
50,000
Пайвастҳои ҳамзамон LB (Proxy L7)
8,000
60,000
60,000
Пайвастшавӣ/сҳои LB (Ҳолати L4)
50,000
50,000
50,000
Пайвастҳои ҳамзамон LB (Ҳолати L4)
600,000
1,000,000
1,000,000
Роҳҳои BGP
20,000
50,000
250,000
250,000
Ҳамсояҳои BGP
10
20
100
100
Роҳҳои BGP аз нав тақсим карда мешаванд
Не Ҳадди
Не Ҳадди
Не Ҳадди
Не Ҳадди
Роҳҳои OSPF
20,000
50,000
100,000
100,000
OSPF LSA Entries Max 750 Type-1
20,000
50,000
100,000
100,000
Ҳамсоягии OSPF
10
20
40
40
Роҳҳои OSPF аз нав тақсим карда мешаванд
2000
5000
20,000
20,000
Роҳҳои умумӣ
20,000
50,000
250,000
250,000
→
Ҷадвал нишон медиҳад, ки тавсия дода мешавад, ки мувозинат дар NSX Edge барои сенарияҳои самаранок танҳо аз андозаи калон сар карда ташкил карда шавад.
Ин ҳама чизест, ки ман имрӯз дорам. Дар қисмҳои зерин ман ба таври муфассал чӣ гуна танзим кардани ҳар як хидмати шабакаи NSX Edge-ро меомӯзам.
Манбаъ: will.com