VMware Cloud koosneb mitmest erinevast komponendist ning funktsionaalsusest. Selleks, et süsteem korrektselt tööle ja toimima saada, peab läbi viima algse häälestuse.
Meie omalt poolt soovitame alustada võrgu seadistamisest, mis on kriitiline komponent oma infrastruktuuri üles ehitamisel.
Esialgu puudub sinu võrgul igasugune funktsionaalsus, kõik liiklus on keelatud igas suunas ning puudub sisevõrk.
Selles tugiartiklis näitame:
- Kuidas luua routed võrku? (Sammud 2-6)
- Kuidas teha elementaarsed NAT reeglid? (Sammud 7-10)
- Kuidas tulemüüri kasutada? (Sammud 11-14)
- Kuidas lubada tulemüüris kõik protokollid? (Samm 15)
- Kuidas lisada tulemüüri uut rakendust, mida vaikimisi olemas pole? (Samm 16)
Sisene enda virtuaalsesse andmekeskusesse keskkonda peale sisselogimist.
Kui kasutad vCloudi esimest korda, palun tutvu abikeskuses olevate teiste VMware juhenditega enne kui jätkate.
Kuidas luua routed võrku?
Järgi pildil oleval juhendeid, et jõuda "Organization VDC Network" viisardini.
Vali "Current Organization Virtual Data Center" skoobiks ja jäta network type "Routed" peale.
Määra võrgule nimi kujul "IP SUBNET/PREFIX" ja lisa endale sobiv Gateway IP. Tegemist on sisevõrguga, pildil olev vahemik on illustratiivne.
Static IP Pools lehel määra enda virtuaalmasinatele välja jagatavate IP aadressite vahemiku. Neid IP aadresse kasutatakse, kui lood uue virtuaalmasina või vAppi ning valid "Static - IP Pool" võrguks.
Otsusta, kas teed enda DNS serverid, näiteks Active Directoryt kasutades või kasutad avalikke DNS teenuseid. Pildil on näiteks toodud meie nimeserverid. 80.79.112.2 ja 80.79.112.20
Vali next, kontrolli kas kõik on õige ning vajuta "Finish".
Kuidas teha elementaarsed NAT reeglid?
Alustame sellest, milleks NAT-i vaja läheb.
NAT aitab tõlgendada liiklust sise ja välisvõrgu vahelt. NAT-i on kahte tüüpi, DNAT ja SNAT.
DNAT-i tööpõhimõte on välisvõrgu IP aadressi kindlat porti tõlgendada sisevõrgus jooksvale teenusele. Oletame, et sul on aadressil 192.168.10.15 veebiserver pordil 8000 ning soovid seda välismaailmaga jagada pordil 80. DNAT reegel aitab just seda tõlgendada. Reaalne reegli toime selle näite puhul on <Välisvõrgu IP>:80 -> 192.168.10.15:8000.
NB! See ei tähenda, et port peab olema mõlemal kujul erinev, see võib olla ka kujul: <Välisvõrgu IP>:80 -> 192.168.10.15:80.
SNAT-i tööpõhimõte on privaatvõrgu tõlgendamine välisvõrku. Selle abil on võimalik virtuaalmasinatel, mis asuvad sinu loodud
sisevõrgus, ühenduda välisvõrku. Oletame, et üritad ühendada välisvõrku aadressile 1.1.1.1, kõige lihtsama SNAT reegli puhul
tõlgendatakse kõik liiklus sisevõrgust välisvõrku kujul: 192.168.10.5 -> 192.168.10.1 -> <Välisvõrgu IP> -> 1.1.1.1.
Ava oma Edge gateway.
Ava "NAT" Edge gateway teenuste alt.
SNAT reegli loomise näide. Selle reegliga saavad kõik masinad pääseda välisvõrku lubatud protokollidel ja kindlal välisvõrgu IP aadressi tagant.
Kindlasti tuleb valida Interface Type SNAT. External IP vali üks endale sobiv vaba IP-dest, kui on meelest läinud või pole käepärast, saad kontrollida vabu aadresseid kõrval olevast info nupust. Internal IP sisesta enda sisevõrgu IP vahemik, eelneva näite puhul on selleks 192.168.2.0/24. Nimeta reegel endale meelepäraselt.
DNAT reegli loomise näide. Selle reegliga saavad välisvõrgust arvutid ühendada sisevõrgus oleva virtuaalmasina SSH pordiga.
Täida väljad nagu näidatud. Asenda External IP ja Internal IP enda omadega vastavalt. Port vali teenusele vastav.
Kui sul teenus asub teisel pordil, siis saad valida "Applications" kõrvalt pliiatsi ikooni ja otsida "SSH" teenus üles. See aitab tõlgendada teenust näiteks kujul: 185.246.185.13:22 -> 192.168.2.6:1022.
Kuidas tulemüüri kasutada?
Vaikimisi on kõik võrguliiklus blokeeritud. Rangelt soovitame lubada ainult protokolle, mida sul reaalselt vaja läheb.
See tähendab, et, kui sa pole lubanud näiteks FTP protokolli, siis puudub sinu virtuaalmasinatel võimalus suhelda ühegi FTP serveriga.
Mida vähem on protokolle avatud, seda turvalisem on su võrk. Meie soovitusel võiksid avada järgmised elementaarsed protokollid:
HTTP, HTTPS, SSH, DNS-UDP ja NTP
NB! Kui sul esineb virtuaalmasinates ühendusega probleeme, siis tasub alati tulemüüri silm peale visata.
Ava oma Edge gateway ja ava "Firewall" teenuste alt.
Vajuta "Edit rules" peale, et avada reeglistiku redigeerimise menüü.
Nimeta reegel endale sobivalt, näiteks "Default VM Policy". Luba source ja destination alt "Any source" (Samm 2 & 3).
Jätka vajutades "Applications" kõrval olevat pliiatsit.
Luba "Choose a specific application".
Vali välja endale vajalikud protokollid. Protokolli valimata jätmine tähendab täieliku blokeeringut sellel protokollil. Näiteks, kui jätad HTTP ja HTTPS valimata, ei ole võimalik ühegil sinu masinal ühendada kuhugi läbi HTTP või HTTPS-i.
Kuidas lubada tulemüüris kõik protokollid?
Me ei soovita seda mingil juhul kasutada, aga kui siiski on selleks põhjust või sa ei oska mõelda kõikide protokollide peale mida vaja läheb, on võimalus selleks olemas.
Ava Edge gateway tulemüüri sätted.
Vajuta pliiatsit "default_rule" kõrval.
Action all olevas rippmenüüst vali "Allow". Salvesta.
NB! See lubab kõik liikluse läbi igal protokollil. Kindlate portide piiramiseks pead looma uue reegli jälgides samme 11 kuni 14 ning "Action" määrama "Drop" peale.
Kuidas lisada tulemüüri uut rakendust, mida vaikimisi olemas pole?
Tihtipeale on arenduskeskkondades või uudistoodetes kasutusel vähem kasutatud teenuspordid ning neid ei pruugi VMware rakenduste nimekirjas olemas olla. Selleks on vaja lisada "Port Profile" Edge gateways.
Ava Edge gateway ning ava "Security" all olev "Application Port Profiles". Vajuta "Custom Applications" alt "New".
Avatud aknas on sul võimalik juba kohe valida, kas soovitud pordid on TCP või UDP peal. Porte saab sisestada mitu tükki komaga eraldatult. Kui sinu rakendus kasutab nii TCP kui ka UDP-t, siis saad sa lisada teise protokolli jaoks lahtreid, kui vajutad "Add Port Profile" peale.
Salvesta ja ava taas tulemüüri sätted. Nüüd on rakenduste loetelusse tekkinud sinu just loodud portide kogumik.
Oled nüüd loonud enda tulevastele virtuaalmasinatele kohtvõrgu, teinud esimese kohtvõrgu pordi suunamise ja lubanud võrguliikluse teatud protokollidel. Kõike eelnevat informatsiooni on võimalik kasutada, et täiendada oma reeglistiku hiljem vajadusel. Järgmine loogiline samm on alustada enda virtuaalmasinate loomisega, kui sa pole selleni varem jõudnud.
Selle jaoks on meil samuti juhend: Virtuaalmasina loomine ja haldus
Lisaks leiate rohkem juhendeid meie abikeskuses VMware alamjaotuses.