پس از معرفی DLR و اجزای آن، در این مطلب به بررسی یکی دیگر از مولفه های محصول NSX به نام Edge Service Gateway خواهیم پرداخت.
Edge Service Gateway یا به صورت مختصر، ESG یک ماشین مجازی یا Virtual Appliance است که توسط NSX Manager دیپلوی می شود و می تواند هر یک از نقش های Router، DHCP server، VPN Server، NAT Server، Load Balancer و یا Perimeter Firewall را در زیرساخت شبکه مجازی ایفا کند.
ESG می تواند تمامی این نقش ها را به صورت یکجا داشته باشد، اما توصیه میشود به ازای هر یک از نقش های فوق، ESG جداگانه در محیط دیپلوی شود که بر اساس باری که بر روی آن گذاشته خواهد شد، سایز آن میتواند متغیر باشد و از سایز Compact تا Quad X-Large را پشتیبانی میکند. برای پیکربندی هر یک از نقش های فوق می بایست پس از ایجاد ESG، از طریق صفحه تنظیمات، بخش مربوطه را پیکربندی نمود.
ESG as a Router یا ESR:
ESG می تواند به عنوان روتر در شبکه قرار گیرد و ترافیک های سابنت های مختلف را به سمت یکدیگر روت یا مسیریابی کند. توجه کنید که این روتر به صورت یک ماشین مجازی ایجاد می شود و مانند همانند تمام ماشین های مجازی دیگر، حتما روی یکی از هاست های ESXi قرار خواهد گرفت، بدین ترتیب کلیه ترافیک های ورودی به این روتر، باید به سمت هاستی فرستاده شوند که این ماشین روی آن قرار دارد و از اینرو باید مراقب باری که روی کارت شبکه های این هاست قرار خواهد گرفت باشیم. روتر مجازی ESG از پروتکل های مسیریابی پویا نیز پشتیبانی میکند و میتواند همانند DLR در پروتکل های مسیریابی BGP و OSPF به عنوان یک Node شرکت کند.
برای محافظت از ESG همانند هر مشین مجازی دیگری می توان از قابلیت های پیشرفته ای مانند HA استفاده کرد اما باید بدانیم ESG می تواند در هنگام ایجاد در حالت HA ایجاد شود که موجب خواهد شد، دو ماشین مجازی همسان با یکدیگر ایجاد شوند و در شرایطی که روتر اصلی دچار مشکلی شد، روتر دوم پس از 15 ثانیه در مدار قرار گیرد.
نکته 2:
ESG به صورت یک ماشین مجازی ایجاد میشود، به همین علت به دلیل محدودیت در تعداد کارت شبکه های فیزیکی ماشین مجازی این روتر میتواند حداکثر 10 کارت شبکه یا اینترفیس داشته باشد. لازم به ذکر است روتر DLR می توانست تا 1000 اینترفیس را ساپورت کند.
نکته 3:
ESG هم میتواند به Physical Vlan ها یا همان پورت گروپ ها متصل شود و هم میتواند به Logical Switch ها متصل گردد.
ESG as a DHCP Server:
برخلاف روتر DLR که نمی توانست به عنوان DHCP Server استفاده شود و تنها از آن به عنوان DHCP relay استفاده میشد، ESG میتواند در نقش DHCP Server ظاهر شود و به کلایننت های متصل به آن در رنج های مختلف آی پی بدهد. معمولا درخواست هایی که از سمت DLR به بیرون Relay می شوند در اختیار ESG قرار میگیرند.
ESG as VPN Server:
یکی دیگر از قابلیت هایی که ESG در اختیار ما میگذارد استفاده از آن برای ایجاد VPN بین سایت های مختلف یا Site to Site VPN از طریق ایجاد IPSEC VPN و همچنین برای ایجاد بستر VPN برای کلاینت های بیرون از سازمان یا Client to Site از نوع SSL VPN می باشد.
همچنین می توانیم از آن برای ایجاد بستر VPN لایه 2 برای انتقال Workload های خارج از زیرساخت مجازی به داخل زیرساخت مجازی سازی شده استفاده کنیم. در این حالت به سایتی که NSX در آن پیاده سازی شده است Managed Site می گوییم و می توانیم برای انتقال ترافیک از شعبات مختلف سازمان که NSX در آنها پیاده سازی نشده است به داخل محیط Managed استفاده کنیم.
ESG as NAT Server:
یکی دیگز از قابلیت های ESG استفاده از آن برای NAT کردن ترافیک های داخلی برای مقاصدی همچون اتصال آنها به بستر اینترنت و یا امکان استفاده کاربران بیرون از سازمان از سرورهای داخلی می باشد. از اینرو ESG هم میتواند Source NAT انجام دهد و هم Destination NAT که بسیار در شبکه ها کاربردی می باشد.
نکته:
همانطور که در بالاتر نیز ذکر شد، ESG به صورت یک ماشین مجازی ایجاد میشود و ترافیک ها به سمت هاستی هدایت می شوند که ESG بر روی آن قرار دارد.
ESG as load balancer:
یکی از بهترین و پر استفاده ترین قابلیت های ESG، استفاده از آن به عنوان Load Balancer می باشد. از Load Balancer ها در برای توزیع کردن ترافیک در شبکه استفاده می شود، به این ترتیب که هر لود بالانسر از یک سمت ترافیک ها را دریافت میکند و توسط الگوریتم های مختلف آن ها را بین سرورهایی که در یک Pool معین قرار گرفته اند توزیع میکند. همچنین استفاده از Load balancer علاوه بر توزیع بار که موجب افزایش Availability خواهد شد می تواند در استفاده بهینه از پهنای باند و همچنین افزایش تعداد درخواست های قابل مدیریت موثر باشد.
لود بالانسرها از یک آی پی مجازی یا Virtual IP برای دریافت و ارسال داده ها استفاده میکنند. به این آی پی به اختصار VIP گفته می شود.
لود بالانسر ESG می تواند در حالت های one-arm یا حالت inline مورد استفاده قرار گیرد. تفاوت این دو حالت در نحوه قرار گیری سرورهای داخل Pool نسبت به لود بالانسر است که در همان دستی باشند که VIP قرار دارد و یا در دست دیگر Load balancer باشند.
نکته:
لود بالانسر ESG از قابلیت Service insertion پشتیبانی میکند، بدین معنی که می توانیم از لود بالانسرهای دیگر سازندگان به جای ان استاده کنیم. یکی از محصولاتی که در این زمینه ارایه شده است محصول BIG IP شرکت F5 است که برای آشنایی با نحوه پیکربندی آن در محیط NSX می توانید از طریق این لینک اقدام کنید.
لودبالانسر ESG از قابلیت های بسیار مهمی همانند SSL offloading و packet based Load balancing پشتیبانی میکند.
ESG as Perimeter Firewall:
یکی دیگر از مهمترین قابلیت های ESG پیکربندی آن به عنوان فایروال می باشد. همانطور که میدانیم از فایروال ها برای تامین امنیت در شبکه ها استفاده میشود و میتوان از آن برای کنترل ترافیک های ورودی و خروجی بهره برد.
فایروال ESG، میتواند در لایه های 2 تا 4 مورد استفاده قرار گیرد و توصیه می شود از این فایروال برای کنترل ترافیک های شمال به جنوب و بالعکس استفاده شود. منظور از ترافیک های شمال به جنوب ترافیک هایی است که قرار است از محیط مجازی خارج و یا به آن وارد شوند.
استفاده از این فایروال بسیار آسان است و از طریق پنلی که در اختیار کاربران قرار میگیرد و می توان rule های مورد نظر را بر اساس Source and Destination IP، Source and Destination port و Service ایجاد کرد.
نکته:
زمانی که به صورت همزمان از ESG به عنوان روتر و فایروال استفاده شود قابلیت های آن محدود خواهند شد و rule های ایجاد شده فقط روی uplink ها موثر خواهد بود.
در این مطلب سعی بر آن شد که به صورت خلاصه با قابلیت های ESG آشنا شویم. در مطالب آینده سناریوهایی را برای پیکربندی هر بخش ارایه خواهیم داد. ما در بخش نظرات مشتاقانه منتظر بازخورد و سوالات شما در مورد این مطلب می باشیم.