Ti o ba wo atunto ti eyikeyi ogiriina, lẹhinna o ṣeeṣe julọ a yoo rii iwe kan pẹlu opo ti awọn adirẹsi IP, awọn ebute oko oju omi, awọn ilana ati awọn subnets. Eyi ni bii awọn ilana aabo nẹtiwọọki fun iraye si olumulo si awọn orisun jẹ imuse kilasika. Ni akọkọ wọn gbiyanju lati ṣetọju aṣẹ ni atunto, ṣugbọn lẹhinna awọn oṣiṣẹ bẹrẹ lati gbe lati ẹka si ẹka, awọn olupin n pọ si ati yi awọn ipa wọn pada, iwọle han fun awọn iṣẹ akanṣe si awọn aaye nibiti wọn ko gba laaye nigbagbogbo, ati pe awọn ọgọọgọrun ti awọn ọna ewurẹ aimọ farahan. .
Lẹgbẹẹ awọn ofin kan, ti o ba ni orire, awọn asọye wa “Vasya beere lọwọ mi lati ṣe eyi” tabi “Eyi jẹ aye si DMZ.” Alakoso nẹtiwọọki naa kuro, ati pe ohun gbogbo di mimọ patapata. Lẹhinna ẹnikan pinnu lati ko atunto Vasya kuro, ati SAP kọlu, nitori Vasya ni ẹẹkan beere fun iwọle yii lati ṣiṣẹ SAP ija naa.
Loni Emi yoo sọrọ nipa ojutu VMware NSX, eyiti o ṣe iranlọwọ lati lo deede ibaraẹnisọrọ nẹtiwọọki ati awọn eto imulo aabo laisi iporuru ni awọn atunto ogiriina. Emi yoo fihan ọ kini awọn ẹya tuntun ti han ni akawe si ohun ti VMware ni iṣaaju ni apakan yii.
VMWare NSX jẹ ipalọlọ ati ipilẹ aabo fun awọn iṣẹ nẹtiwọọki. NSX yanju awọn iṣoro ti ipa-ọna, iyipada, iwọntunwọnsi fifuye, ogiriina ati pe o le ṣe ọpọlọpọ awọn nkan ti o nifẹ si.
NSX jẹ arọpo si ọja Nẹtiwọọki vCloud ati Aabo (vCNS) tirẹ ti VMware ati Nicira NVP ti o gba.
Lati vCNS si NSX
Ni iṣaaju, alabara kan ni ẹrọ foju vCNS vShield Edge lọtọ ninu awọsanma ti a ṣe lori VMware vCloud. O ṣe bi ẹnu-ọna aala, nibiti o ti ṣee ṣe lati tunto ọpọlọpọ awọn iṣẹ nẹtiwọọki: NAT, DHCP, Firewall, VPN, iwọntunwọnsi fifuye, bbl Ogiriina ati NAT. Laarin nẹtiwọọki, awọn ẹrọ foju ṣe ibaraẹnisọrọ pẹlu ara wọn larọwọto laarin awọn subnets. Ti o ba fẹ gaan lati pin ati ṣẹgun ijabọ, o le ṣe nẹtiwọọki lọtọ fun awọn ẹya ara ẹni kọọkan ti awọn ohun elo (awọn ẹrọ foju oriṣiriṣi) ati ṣeto awọn ofin ti o yẹ fun ibaraenisepo nẹtiwọọki wọn ni ogiriina. Ṣugbọn eyi gun, nira ati aibikita, ni pataki nigbati o ni ọpọlọpọ awọn ẹrọ foju mejila.
Ni NSX, VMware ṣe imuse ero ti ipin micro-micro ogiriina ti a pin ti a ṣe sinu ekuro hypervisor. O ṣe afihan aabo ati awọn imulo ibaraenisepo nẹtiwọki kii ṣe fun awọn adirẹsi IP ati MAC nikan, ṣugbọn fun awọn ohun miiran: awọn ẹrọ foju, awọn ohun elo. Ti NSX ba wa ni ransogun laarin ajo kan, awọn nkan wọnyi le jẹ olumulo tabi ẹgbẹ awọn olumulo lati Active Directory. Ọkọọkan iru ohun kan yipada si microsegment ni lupu aabo tirẹ, ninu subnet ti a beere, pẹlu DMZ itunu tirẹ :).
Ni iṣaaju, agbegbe aabo kan nikan wa fun gbogbo adagun awọn orisun, ti o ni aabo nipasẹ iyipada eti, ṣugbọn pẹlu NSX o le daabobo ẹrọ foju lọtọ lati awọn ibaraenisọrọ ti ko wulo, paapaa laarin nẹtiwọọki kanna.
Aabo ati awọn ilana nẹtiwọọki ṣe deede ti nkan kan ba gbe si nẹtiwọki ti o yatọ. Fun apẹẹrẹ, ti a ba gbe ẹrọ kan pẹlu aaye data si apakan nẹtiwọki miiran tabi paapaa si ile-iṣẹ data foju ti a ti sopọ, lẹhinna awọn ofin ti a kọ fun ẹrọ foju yii yoo tẹsiwaju lati lo laibikita ipo tuntun rẹ. Olupin ohun elo naa yoo tun ni anfani lati baraẹnisọrọ pẹlu data data.
Ẹnu eti funrararẹ, vCNS vShield Edge, ti rọpo nipasẹ NSX Edge. O ni gbogbo awọn ẹya onirẹlẹ ti Edge atijọ, pẹlu awọn ẹya iwulo tuntun diẹ. A yoo sọrọ nipa wọn siwaju sii.
Kini tuntun pẹlu Edge NSX?
NSX Edge iṣẹ da lori NSX. Marun wa ninu wọn: Standard, Ọjọgbọn, Onitẹsiwaju, Idawọlẹ, Ọfiisi Ẹka Latọna jijin Plus. Ohun gbogbo titun ati awọn ti o nifẹ ni a le rii nikan ti o bẹrẹ pẹlu To ti ni ilọsiwaju. Pẹlu wiwo tuntun kan, eyiti, titi vCloud yoo yipada patapata si HTML5 (VMware ṣe ileri igba ooru 2019), ṣii ni taabu tuntun kan.
Ogiriina. O le yan awọn adirẹsi IP, awọn nẹtiwọọki, awọn atọkun ẹnu-ọna, ati awọn ẹrọ foju bi awọn nkan si eyiti awọn ofin yoo lo.
DHCP. Ni afikun si tunto iwọn awọn adirẹsi IP ti yoo funni ni adaṣe laifọwọyi si awọn ẹrọ foju lori nẹtiwọọki yii, NSX Edge ni awọn iṣẹ wọnyi: abuda и yii.
Ninu taabu Awọn isopọ O le di adiresi MAC ti ẹrọ foju kan si adiresi IP ti o ba nilo adiresi IP lati ma yipada. Ohun akọkọ ni pe adiresi IP yii ko si ninu adagun DHCP.
Ninu taabu yii atunto ti awọn ifiranṣẹ DHCP ti wa ni tunto si awọn olupin DHCP ti o wa ni ita ti ajo rẹ ni Oludari vCloud, pẹlu awọn olupin DHCP ti awọn amayederun ti ara.
Ipa ọna. vShield Edge le tunto ipa-ọna aimi nikan. Yiyi ipa ọna pẹlu atilẹyin fun OSPF ati BGP ilana han nibi. Awọn eto ECMP (Active-active) tun ti wa, eyiti o tumọ si ikuna ti nṣiṣe lọwọ si awọn olulana ti ara.
Ṣiṣeto OSPF
Eto BGP
Ohun tuntun miiran ni eto gbigbe awọn ipa-ọna laarin awọn ilana oriṣiriṣi,
ipa-pada pinpin.
L4/L7 Fifuye Iwontunws.funfun. X-Dari-Fun ni a ṣe agbekalẹ fun akọsori HTTPs. Gbogbo eniyan sọkun laisi rẹ. Fun apẹẹrẹ, o ni oju opo wẹẹbu kan ti o n ṣe iwọntunwọnsi. Laisi fifiranṣẹ akọle yii, ohun gbogbo n ṣiṣẹ, ṣugbọn ninu awọn iṣiro olupin wẹẹbu o rii kii ṣe IP ti awọn alejo, ṣugbọn IP ti iwọntunwọnsi. Bayi ohun gbogbo ti tọ.
Paapaa ninu taabu Awọn ofin Ohun elo o le ṣafikun awọn iwe afọwọkọ ti yoo ṣakoso iwọntunwọnsi ijabọ taara.
vpn. Ni afikun si IPSec VPN, NSX Edge ṣe atilẹyin:
- L2 VPN, eyiti o fun ọ laaye lati na awọn nẹtiwọọki laarin awọn aaye ti a tuka ni agbegbe. Iru VPN bẹẹ ni a nilo, fun apẹẹrẹ, pe nigbati o ba nlọ si aaye miiran, ẹrọ foju kan wa ninu subnet kanna ati pe o da adirẹsi IP rẹ duro.
- SSL VPN Plus, eyiti ngbanilaaye awọn olumulo lati sopọ latọna jijin si nẹtiwọọki ajọ kan. Ni ipele vSphere iru iṣẹ kan wa, ṣugbọn fun Oludari vCloud eyi jẹ imotuntun.
Awọn iwe-ẹri SSL. Awọn iwe-ẹri le ni bayi ti fi sori ẹrọ lori NSX Edge. Eyi tun wa si ibeere ti tani o nilo iwọntunwọnsi laisi ijẹrisi fun https.
Pipọ Awọn nkan. Ninu taabu yii, awọn ẹgbẹ ti awọn nkan ti wa ni pato fun eyiti awọn ofin ibaraenisepo nẹtiwọki kan yoo lo, fun apẹẹrẹ, awọn ofin ogiriina.
Awọn nkan wọnyi le jẹ adiresi IP ati MAC.
Atokọ awọn iṣẹ tun wa (apapọ-ibudo-ilana) ati awọn ohun elo ti o le ṣee lo nigba ṣiṣẹda awọn ofin ogiriina. Alakoso ibudo vCD nikan ni o le ṣafikun awọn iṣẹ ati awọn ohun elo tuntun.
Awọn iṣiro. Awọn iṣiro asopọ: ijabọ ti o kọja nipasẹ ẹnu-ọna, ogiriina ati iwọntunwọnsi.
Ipo ati awọn iṣiro fun IPSEC VPN kọọkan ati L2 VPN eefin.
wíwọlé. Ninu taabu Awọn Eto Edge, o le ṣeto olupin fun awọn igbasilẹ gbigbasilẹ. Wọle ṣiṣẹ fun DNAT/SNAT, DHCP, Firewall, afisona, iwọntunwọnsi, IPsec VPN, SSL VPN Plus.
Awọn iru titaniji wọnyi wa fun nkan/iṣẹ kọọkan:
— Ṣatunkọ
— Gbigbọn
— Pataki
- Aṣiṣe
— Ìkìlọ
- Akiyesi
- Alaye
NSX eti Mefa
Da lori awọn iṣẹ-ṣiṣe ti a yanju ati iwọn didun VMware ṣẹda NSX Edge ni awọn iwọn wọnyi:
NSX eti
(Iwapọ)
NSX eti
(Nla)
NSX eti
(Quad-Large)
NSX eti
(X-tobi)
vCPU
1
2
4
6
Memory
512MB
1GB
1GB
8GB
disk
512MB
512MB
512MB
4.5GB + 4GB
Ijoba
Ọkan
ohun elo, idanwo
data aarin
Kekere
tabi apapọ
data aarin
Ti kojọpọ
ogiriina
Iwontunwonsi
èyà ni ipele L7
Ni isalẹ ninu tabili ni awọn metiriki iṣẹ ti awọn iṣẹ nẹtiwọọki ti o da lori iwọn NSX Edge.
NSX eti
(Iwapọ)
NSX eti
(Nla)
NSX eti
(Quad-Large)
NSX eti
(X-tobi)
atọkun
10
10
10
10
Awọn atọkun Ihalẹ (Ọpa)
200
200
200
200
Awọn ofin NAT
2,048
4,096
4,096
8,192
Awọn titẹ sii ARP
Titi ìkọlélórí
1,024
2,048
2,048
2,048
Awọn ofin FW
2000
2000
2000
2000
FW Performance
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP adagun
20,000
20,000
20,000
20,000
Awọn ọna ECMP
8
8
8
8
Awọn ipa-ọna Aimi
2,048
2,048
2,048
2,048
Awọn adagun LB
64
64
64
1,024
LB foju Servers
64
64
64
1,024
LB Server / Pool
32
32
32
32
Awọn sọwedowo ilera LB
320
320
320
3,072
Awọn Ofin Ohun elo LB
4,096
4,096
4,096
4,096
Ipele Awọn alabara L2VPN lati Sọ
5
5
5
5
Awọn nẹtiwọki L2VPN fun Onibara/Olupin
200
200
200
200
IPSec Tunnels
512
1,600
4,096
6,000
SSLVPN Tunnels
50
100
100
1,000
SSLVPN Awọn nẹtiwọki Aladani
16
16
16
16
Awọn akoko igbakanna
64,000
1,000,000
1,000,000
1,000,000
Awọn akoko/Ikeji
8,000
50,000
50,000
50,000
LB Aṣoju Aṣoju L7)
2.2Gbps
2.2Gbps
3Gbps
Ipò L4 Ilọsiwaju LB)
6Gbps
6Gbps
6Gbps
Awọn isopọ/awọn LB (Aṣoju L7)
46,000
50,000
50,000
LB Awọn isopọ Nigbakanna (Aṣoju L7)
8,000
60,000
60,000
Awọn isopọ/awọn LB (Ipo L4)
50,000
50,000
50,000
LB Awọn isopọ Nigbakanna (Ipo L4)
600,000
1,000,000
1,000,000
Awọn ọna BGP
20,000
50,000
250,000
250,000
BGP Awọn aladugbo
10
20
100
100
Awọn ipa ọna BGP tun pin
ko si iye to
ko si iye to
ko si iye to
ko si iye to
Awọn ipa ọna OSPF
20,000
50,000
100,000
100,000
Awọn titẹ sii OSPF LSA Max 750 Iru-1
20,000
50,000
100,000
100,000
OSPF Adjacencies
10
20
40
40
Awọn ipa ọna OSPF tun pin kaakiri
2000
5000
20,000
20,000
Lapapọ Awọn ipa ọna
20,000
50,000
250,000
250,000
→
Tabili naa fihan pe o gba ọ niyanju lati ṣeto iwọntunwọnsi lori NSX Edge fun awọn oju iṣẹlẹ iṣelọpọ nikan ti o bẹrẹ lati iwọn nla.
Iyẹn ni gbogbo ohun ti Mo ni fun loni. Ni awọn apakan atẹle Emi yoo lọ nipasẹ ni alaye bi o ṣe le tunto iṣẹ nẹtiwọọki NSX Edge kọọkan.
orisun: www.habr.com