Edge gateway что это значит
Устройства IoT Edge могут работать в качестве шлюзов, обеспечивая подключение между другими устройствами в сети и Центром Интернета вещей.
Два этих типа (прозрачный шлюз и шлюз преобразования) не являются взаимоисключающими. Одно и то же устройство IoT Edge может функционировать и как прозрачный шлюз, и как шлюз преобразования.
Все шаблоны шлюза предоставляют следующие преимущества:
Прозрачные шлюзы
В шаблоне прозрачного шлюза устройства, которые теоретически могут подключиться к Центру Интернета вещей, могут вместо этого подключиться к устройству шлюза. Подчиненные устройства имеют собственные удостоверения Центра Интернета вещей и подключаются по любому из двух протоколов: MQTT и AMQP. Шлюз просто обеспечивает взаимодействие между устройствами и Центром Интернета вещей. Устройствам и пользователям, взаимодействующим с ними через Центр Интернета вещей, не известно, что их обмен данными происходит через шлюз. Такое отсутствие осведомленности означает, что шлюз можно считать прозрачным.
Дополнительные сведения о том, как центр IoT Edge управляет взаимодействием между подчиненными устройствами и облаком, см. в статье Общие сведения о среде выполнения Azure IoT Edge и ее архитектуре.
В IoT Edge версии 1.1 и более ранних устройства IoT Edge не могут быть подчиненными шлюзу IoT Edge.
Начиная с версии IoT Edge 1.2 прозрачные шлюзы могут обрабатывать подключения от подчиненных устройств IoT Edge. Дополнительные сведения см. в версии этой статьи для IoT Edge 1.2.
Начиная с версии IoT Edge 1.2 прозрачные шлюзы могут обрабатывать подключения от подчиненных устройств IoT Edge.
Связи родительских и дочерних устройств
Связи прозрачного шлюза можно задать в Центре Интернета вещей, указав, что шлюз IoT Edge является родительским устройством для подчиненного дочернего устройства, которое подключается к нему.
Связь родительских и дочерних устройств устанавливается в трех местах в конфигурации шлюза (см. описание ниже).
Облачная идентификация
В случае прозрачного шлюза всем устройствам требуются облачные удостоверения, чтобы они могли проходить проверку подлинности в Центре Интернета вещей. При создании или обновлении удостоверения устройства можно задать для него родительские или дочерние устройства. Такая конфигурация позволяет родительскому устройству шлюза обрабатывать проверку подлинности для его дочерних устройств.
Настройка родительского устройства в Центре Интернета вещей раньше была необязательным шагом для подчиненных устройств, использующих проверку подлинности с симметричным ключом. Однако начиная с версии 1.1.0 каждое подчиненное устройство должно быть назначено родительскому устройству.
Вы можете настроить центр IoT Edge для возврата к предыдущему поведению, задав для переменной среды AuthenticationMode значение CloudAndScope.
У каждого дочернего устройства может быть только один родитель. По умолчанию родительский элемент может иметь до 100 дочерних элементов. Это ограничение можно изменить, задав переменную среды максконнектедклиентс в модуле edgeHub родительского устройства.
В сценариях с прозрачным шлюзом устройства IoT Edge могут выступать и в качестве родительских, и в качестве дочерних. Можно создать иерархию из нескольких подчиненных друг другу устройств IoT Edge. Верхний узел иерархии шлюзов может охватывать до пяти поколений дочерних элементов. Например, к одному устройству IoT Edge может относиться пять уровней устройств IoT Edge, связанных друг с другом как родительские и дочерние элементы. Однако у устройства IoT Edge в пятом поколении не может быть никаких дочерних элементов, в том числе устройств IoT Edge.
Обнаружение шлюза
Дочернее устройство должно иметь возможность найти свое родительское устройство в локальной сети. Настройте устройство шлюза, задав имя узла, полное доменное имя или IP-адрес, по которому дочерние устройства смогут его находить.
На подчиненных устройствах IoT используйте параметр gatewayHostname в строке подключения, чтобы указать родительское устройство.
На подчиненных устройствах IoT Edge используйте параметр parent_hostname в файле конфигурации, чтобы указать родительское устройство.
Безопасное подключение
Родительские и дочерние устройства также должны проходить проверку подлинности при подключениях друг к другу. Каждому устройству требуется копия общего корневого сертификата ЦС, с помощью которого дочерние устройства проверяют, к правильному ли шлюзу они подключаются.
Если несколько шлюзов IoT Edge подключаются друг к другу в иерархии шлюзов, все устройства в ней должны использовать одну цепочку сертификатов.
Возможности устройств при подключении к прозрачным шлюзам
В сравнительной таблице ниже показано, какие возможности Центра Интернета вещей поддерживаются для обычных устройств и устройств, расположенных за шлюзами.
Образы контейнеров можно загружать, хранить и доставлять с родительских устройств на дочерние устройства.
BLOB-объекты, включая пакеты поддержки и журналы, можно передавать с дочерних устройств на родительские.
Шлюзы преобразования
Для шлюзов преобразования существует два шаблона: преобразование протоколов и преобразование удостоверений.
Преобразование протоколов
Преобразование протоколов поддерживает устройства с ограниченными ресурсами. Многие имеющиеся устройства производят данные, которые могут предоставить бизнес-аналитику, однако они не были разработаны с учетом возможности подключения к облаку. Непрозрачные шлюзы позволяют разблокировать эти данные и использовать их в решении Интернета вещей.
Преобразование удостоверения
Преобразование удостоверений дает те же преимущества, что и преобразование протоколов, и дополнительно позволяет полностью управлять подчиненными устройствами из облака. Все устройства решения Интернета вещей отображаются в Центре Интернета вещей независимо от используемого протокола.
Возможности устройств при подключении к шлюзам преобразования
В таблице ниже показано, какие возможности Центра Интернета вещей доступны для подчиненных устройств в обоих шаблонах шлюзов преобразования.
Среда выполнения IoT Edge не обеспечивает возможности преобразования протоколов и удостоверений. Для этих шаблонов требуются пользовательские или сторонние модули, которые часто предназначены для конкретного оборудования и протокола. В Azure Marketplace предлагаются несколько модулей преобразования протоколов. Пример, в котором используется шаблон преобразования удостоверений, см. в описании начального набора LoRaWAN для Azure IoT Edge.
UPDATE: Мы автоматизировали создание сети и правил NAT. Теперь при оформление подписки все это создается само :). Все что вам остается — это развернуть виртуальную машину из шаблона или с нуля. При этом у вас по-прежнему остается возможность менять настройки сети при необходимости.
Только не забываем про Firewall, который по умолчанию не пропускает никакой трафик и требует настройки правил.
vCloud Director — это платформа для управления виртуальной инфраструктурой по модели IaaS. Для тех, кто раньше не сталкивался с «промышленными» вариантами панелей, может показаться сложной. Но первое впечатление обманчиво: как только «испуг» от богатого функционала пройдет, вы оцените ее возможности и ту, свободу в настройках, которую дает vCloud Director. А именно панель позволяет:
• создавать виртуальные машины и управлять ими;
• осуществлять их миграцию из другого облака;
• устанавливать любые виртуальные машины с ОС из имеющихся шаблонов и загружать ovf шаблоны самостоятельно;
• гибко управлять правами доступа к пулу виртуальных ресурсов;
• создавать внутренние и маршрутизируемые (с выходом в Интернет) и изолированные сети;
• настраивать гибкие правила Firewall и создавать VPN-соединения;
• настраивать балансировку нагрузки между виртуальными машинами и многое другое.
Начнем с самых азов, поэтому администраторы 80 lvl могут понаблюдать в стороне, как орлята учатся летать :)
Поговорим по понятиям
Для начала давайте познакомимся основными элементами vCloud Director, чтобы было проще ориентироваться при настройке.
Виртуальный дата-центр (virtual datacenter, VDC) — это пул виртуальных вычислительных ресурсов (процессоры, память, место на диске). Фактически, это среда, в рамках которой вы будете создавать виртуальные машины, контейнеры (vApp), сети.
vApp – это контейнер, в котором размещаются виртуальные машины. vApp позволяет объединять виртуальные машины по их назначению (почтовый сервер, бухгалтерия и пр.) и управлять группой виртуальных машин. Это особенно удобно, если у вас большая виртуальная инфраструктура. На основе vApp можно создавать шаблоны: это может сэкономить время, если есть необходимость разворачивать однотипные группы виртуальных машин.
Виртуальные машины (VM) — с этим, думаю, всем все понятно. Скажу лишь, что в vCloud Director их можно создавать из шаблонов в каталоге (сразу с ОС) или с нуля, устанавливая нужную ОС из ISO-образа.
Каталоги (Catalogs) – это папки, в которых можно хранить шаблоны vApp, виртуальных машин и медиа-файлов (ISO-образы).
Сеть уровня организации (Org VDC Networks) – это сеть вашего виртуального дата-центра, доступная для всех vApp и виртуальных машин. Сеть уровня организации может быть изолированной (isolated, без выхода в Интернет) и маршрутизируемой (routed, с выходом в Интернет).
Сеть уровня vApp, как следует из названия, работает только внутри выбранного vApp: для виртуальных машин из других vApp по умолчанию она не будет доступна, тем самым обеспечивая дополнительную изоляцию между двумя контейнерами. Это, например, можно использовать, если у вас в одном виртуальном дата-центре «живет» сразу несколько проектов, которые не должны друг друга «видеть».
От теории к практике
Теперь покажем шаг за шагом, как выглядит процесс первоначальной настройки сети. Мы рекомендуем начать работу именно с нее, так как в этом случае vApp можно подключить к имеющейся сети при его создании. Но если все-таки первым делом вы создаете vApp с виртуальной машиной, то алгоритм действий будет немного другим. Вот эта инструкция поможет сделать все правильно и в этой ситуации.
Итак, приступим.
Создаем сеть уровня организации
1. Заходим в раздел Administration и кликаем мышкой два раза по виртуальному дата-центру.
2. Переходим во вкладку Org VDC Networks и жмем на зеленый +.
3. В появившемся окне выбираем тип сети: если нужен выход в Интернет, то выбираем routed network (маршрутизируемая). Выделяем vShield Edge и жмем Next.
vShield Edge заслуживает пары отдельных слов. Этот набор сервисов сочетает в одном флаконе DHCP, NAT, Firewall, VPN и балансировщик нагрузки (Web Load Balancing).
4. Во вкладке Configure Network заполняем настройки сети:
• Gateway address — адрес шлюза, например, 192.168.0.1;
• Network mask — маска подсети, например, 255.255.255.0;
• Primary DNS — первичный DNS адрес, например, 95.131.31.206;
• Secondary DNS — вторичный DNS адрес, например, 178.20.234.206.
• В поле Static IP pool введите диапазон адресов, которые в дальнейшем будут автоматически присваиваться вашим виртуальным машинам.
Ввод должен осуществляться в формате xxx.xxx.xxx.xxx- yyy.yyy.yyy.yyy, где xxx.xxx.xxx.xxx- это начальный адрес подсети, а yyy.yyy.yyy.yyy- конечный IP- адрес подсети. Например, 192.168.0.101 — 192.168.0.150. Для ваших виртуальных машин будут выделяться адреса из указанного пула. Внизу будет указано количество доступных IP (total:50). Жмем Next.
5. Придумываем название сети и описание, если необходимо.
6. Проверяем еще раз все настройки и жмем Finish.
Все, с сетью организации разобрались. Вот она, создалась.
Теперь осталось настроить доступ в интернет. Для этого нужно настроить трансляцию адресов (Network Address Translation –
преобразование сетевых адресов.
Настройка правил SNAT и DNAT
Для выхода из локальной сети в Интернет настраиваем SNAT.
1. Первым дело нам нужно посмотреть диапазон внешних IP-адресов, который нам доступен. Для этого снова заходим в раздел Administration и кликаем дважды на виртуальный дата-центр. Переходим во вкладку Edge Gateways и кликаем на нужный vShield Edge правой кнопкой мыши. Выбираем опцию Properties .
2. Наблюдаем нужную информацию во вкладке Sub-Allocate IP Pools. Запоминаем или даже записываем :)
3. Возвращаемся к нашему vShield Edge, кликаем на него правой кнопкой мыши и выбираем опцию Edge Gateway Services.
4. В появившемся окне открываем вкладку NAT и нажимаем Add SNAT.
5. В новом окне:
• в поле Applied on (Применяется) указываем внешнюю сеть (не сеть уровня организации!).
• в поле Description указываете описание к правилу SNAT;
• в поле Original (Internal) source IP/range указываем внутренний диапазон адресов, например 192.168.0.0/24;
• в поле Translated (External) source IP/range вписываем внешний адрес, через который будет осуществляться выход в Интернет (тот адрес, что мы посмотрели в Sub-Allocate IP Pools и запомнили). Жмем ОК.
Теперь создаем правило DNAT, для того, чтобы предоставлять свои сервисы в Интернет, например, сайт с котиками (с).
1. Жмем на Add DNAT.
2. В появившемся окне заполняем следующее
• в поле Applied on указываем внешнюю сеть (как и в случае с SNAT, это не сеть уровня организации!);
• в поле Description указываем описание правила DNAT;
• в поле Original (External) IP/range указываем внешний адрес (адрес из вкладки Sub-Allocate IP Pools);
• в поле Protocol – протокол или все протоколы (тогда выбираем Any);
• в поле Port — порт;
• в поле Translated (Internal) IP/range укажите внутренний IP-адрес, например 192.168.0.101.
Нажмите ОК.
В довершение настроим Firewall
1. Возвращаемся на страницу виртуального дата-центра, выбираем вкладку Edge Gateways и кликаем на нужный vShield Edge правой кнопкой мыши.
2. Выбираем опцию Edge Gateway Services. В появившемся окне Configure Services перейдите во вкладку Firewall.
3. По умолчанию в пункте Default action выбрана опция Deny, т. е. Firewall будет блокировать весь трафик. Чтобы этого не происходило нужно настроить правила (кнопка Add).
Настройка правил Firewall
В поле Name (Название) задайте название правила.
В поле Source (Источник) введите необходимые адреса источника: единичный IP-адрес, диапазон IP-адресов, CIDR или ключевые переменные:
• Internal — все внутренние сети
• External — все внешние сети
• Any — любые сети
Например, можно ввести Internal.
В поле Source Port выберите порт источника. Можно указать один порт, диапазон портов или указать все порты с помощью ключевой переменной Any;
В поле Destination укажите адрес получателя. В таком же формате, как и для поля Source, например, external;
В поле Destination Port выберите порт получателя. Порт также можно прописать вручную. Можно оставить Any;
В поле Protocol выберите необходимый протокол или все (ключевая переменная Any);
В поле Action выберите необходимое значение (allow — разрешить, deny — запретить). Нажмите ОК.
Важно: если в Firewall выбрана опция Allow, то в правиле вы задаете параметры сессий, которые Firewall будет блокировать. Для этого в окне правила нужно выбрать опцию Deny. Если же выставлена опция Deny, то в правиле задаются параметры сессий, который Firewall будет пропускать.
На этом с настройкой сети все.
Можно также настроить сеть уровня vApp — изолированную или маршрутизируемую (routed ), при этом routed сеть будет подключаться к сети уровня организации и через нее выходить в Интернет. Этот вариант подключения может потребоваться, если необходимо изолировать виртуальные машины в разных vApp на уровне сети.
В следующей части расскажем про создание виртуальной машины из шаблонов, с нуля и загрузкой собственных ISO-образов.
Edge gateway - это виртуальный маршрутизатор, который соеденяет внешнюю и внтуренею сеть и предлагает такие услуги, как NAT, брандмауэр, load balancer и VPN.
DHCP позволяет автоматически назначать IP-адреса виртуальным серверам из предопределенных диапазонов. Это могут быть как общедоступные, так и IP-адреса внтуреней сети. DHCP помогает предотвратить конфликты IP, гарантируя, что каждый виртуальный сервер имеет уникальный IP-адрес.
Преобразование сетевых адресов NAT - это метод изменения заголовков IP-пакетов, таким образом что виртуальные машины находящиеся во внутреней сети обращаясь во внешнию сеть транслируются как как сетевой трафик из Edge gateway, хотя создателем соединения является виртуальный сервер находящийся за Edge gateway.
- С помощью NAT можно прятать целые сети за одним внешним IP-адресом.
- Спрятаные за NAT виртуальные машины не видны внешниму миру и получить к ним доступ невозможно, по этой причине их очень сложно атаковать.
Более подробно про NAT ожно прочитать здесь.
Routing дает возможность создавать маршруты следования трафика между сетями. Например можно создать маршрут между двумя не связаными между сабой внутреними сетями расположеными в разных подсетях. Существует также поддержка OSPF и BGP.
Load Balancer распределяет входящие запросы между несколькими серверами, так чтобы конечный пользователь не видел разницу. По мере увеличения нагрузки так же можно добовлять сервера. Балансировка нагрузки помогает оптимизировать использование ресурсов, максимизировать пропускную способность, минимизировать время отклика и избегать перегрузки. Бремя делится по круговому принципу и запросы будут отправляться на сервер с меньшей нагрузкой.
VPN (virtual private newtwork) если вы хотите разрешить доступ к серверам vCloud только из своего дома или офиса и закрыть его до остального мира, решение IPSec VPN идеально подходит для этого. Это означает, что сетевой трафик между вашим офисом и vCloud проходит по защищенному, зашифрованному туннелю.
Например через VPN может подключать две географически разные точки к одному объекту.
Приложения IPSec также доступны для устройств Android и iOS.
Более подробно про VPN настройку можно найти здесь.
SSL VPN-Plus позволяет пользователям создавать безопасное VPN-соединение между собственным компьютером и сетями за Edge Gateway. При подключении через SSL-шифрование пользователь может получить доступ к устройствам в защищенных сетях. Вы можете создать соединение через браузер или с помощью специального программного обеспечения установленного свой компьютер.
Certificates. Здесь вы можете управлять сертификатами безопасности SSL, используемыми Edge Gateway. Также могут использоваться самоподписанные сертификаты, но рекомендуется заказать коммерческий сертификат для защиты Edge Gateway. При подключение с самоподписанным сертификатом, который вы используете, вы можете получить ошибку в браузере о небезопасно соединение с Edge Gateway.
Мы рекомендуем использовать VPN-соединения & Сертификаты CA. Каждый пользователь имеет свой собственный сертификат, без которого соединение не может быть установлено. Это очень хорошая защита вашего обычного пароля.
Statistics графически отображает статистику сетевого трафика Edge Gateway.
Служба помощи клиентам:
Пн-Пт +372 685 0000
Site to Site IPsec Policy Based VPN между Edge Gateway и Mikrotik. Маршрутизация множества подсетей.
В данной инструкции рассматривается сценарий, в котором на стороне клиента есть 2 локальные подсети и на стороне облака Cloud4Y 2 локальные подсети. Между Edge Gateway в облаке и Mikrotik на площадке клиента поднимается 1 IPsec туннель и сети с каждой стороны маршрутизируются через этот туннель.
Подразумевается, что мы не можем объединить несколько сетей в сеть с меньшим префиксом. Поэтому, мы будем создавать отдельную IPsec Policy для каждой пары сетей.
Настройку будем выполнять полностью через графический интерфейс: Web интерфейс VMware Cloud Director и Winbox.
Тестовый стенд, на котором будем осуществлять настройку выглядит следующим образом:
Сеть 192.168.2.0/24 - сеть лаборатории. В реальном сценарии использования вместо этой сети будут использоваться глобально маршрутизируемые (публичные, белые) адреса в Интернет.
Сети в облаке Cloud4Y: 10.0.100.0/24, 10.0.50.0/24;
Сети на площадке клиента: 172.16.100.0/24, 172.16.50.0/24;
RouterOS на Mikrotik версии 6.48.1 (Stable).
Настройка Edge Gateway.
Открываем панель управления VMware Cloud Director. Переходим на вкладку Networking, выбираем подраздел Edge Gateways и кликаем на Edge Gateway.
Выбираем Services
Настройка IPsec на Edge Gateway.
Переходим в раздел VPN -> IPsec VPN -> IPsec VPN Sites и нажимаем «+»
Включаем IPsec VPN Site, включаем Perfect Forward Secrecy (PFS).
В поле Name вводим названием IPsec туннеля.
В поле Local Id вводим уникальный идентификатор. Это может быть IP адрес, или доменное имя и т. п. Local Id на Edge Gateway должен совпадать с Remote Id на Mikrotik.
В поле Local Endpoint вводим внешний IP адрес Edge Gateway.
В поле Local Subnets вводим через запятую список подсетей за Edge Gateway, которые будут доступны через этот туннель.
Поля Peer Id, Peer Endpoint, Peer Subnets заполняем аналогично Local. Указываем Id, внешний IP адрес Mikrotik и сети за Mikrotik.
Выбираем алгоритм шифрования AES256, метод аутентификации PSK и указываем Pre-Shared Key.
Повторяем настройки со скриншота и нажимаем Keep.
Перейдите на вкладку Activation Status, включите IPsec Service и сохраните изменения.
Настройка Firewall на Edge Gateway.
Для того, чтобы трафик не блокировался Firewall, создайте правила. В примере ниже созданы правила, которые разрешают весь исходящий трафик и весь трафик по IPsec туннелю.
Настройка Edge Gateway завершена.
Настройка Mikrotik
Инструкцией предполагается, что базовая настройка Mikrotik уже выполнена. На интерфейсах Mikrotik назначены следующие адреса:
Настройка IPsec на Mikrotik.
Переходим в IP -> IPsec -> Peers «+».
Создаем новый IPsec Peer.
В Address указываем внешний IP адрес Edge Gateway.
В Local Address указываем внешний IP адрес Mikrotik.
Exchange Mode – IKE2.
Переходим на вкладку Profiles. Редактируем существующий профиль default.
Повторяем параметры со скриншота.
Переходим на вкладку Proposals. Создаем новый IPsec Proposal.
Повторяем параметры со скриншота.
Переходим на вкладку Identities. Создаем новую Identity.
Повторяем параметры со скриншота. В поле Secret вводим Pre-Shared key. Такой же, как мы вводили при настройке Edge Gateway.
Переходим на вкладку Policies и создаем четыре IPsec Policy.
Создаем политики для каждой пары сетей.
Корректно созданные политики должны выглядеть следующим образом. Обратите внимание на столбец «Level», значение напротив каждой политики должно быть «Unique».
Настройка Firewall на Mikrotik.
Переходим IP -> Firewall -> Address Lists.
Создаем адрес листы "Behind Mikrotik" и "Behind Edge_Gateway".
Указываем какая подсеть за каким роутером находится.
Создаем два «зеркальных» правила Firewall. На вкладке Advanced выбираем созданные на предыдущем шаге адрес листы.
Создаем два «зеркальных» правила NAT. На вкладке Advanced выбираем адрес листы. Эти правила должны быть выше в списке, чем правило Masquerade.
Создаем два «зеркальных» правила RAW. На вкладке Advanced выбираем адрес листы.
Настройка Mikrotik завершена.
Связанные статьи
В данной таблице перечислены параметры туннеля IPSec S2S VPN для vCloud Director версии 9.7.
VMware NSX Edge – это решение, обеспечивающее для виртуального дата-центра функции.
Настройка сервера удаленного доступа SSL VPN-Plus Технология SSL VPN-Plus позволяет.
С подробным описанием параметров туннеля можно ознакомиться в отдельной статье. Краткая.
Однажды к нам обратился клиент с просьбой обеспечить резервирование VPN туннеля между офисом и.
Читайте также: