Hocam Selam…!
Bu yazımda sizlere SDN hakkında bilgi vermeye, network ürünleri artık sadece iki yerin arasında haberleşmeden daha çok nereye ilerliyor konusunu anlatmaya çalışacağım. Fortigate ürünlerinde bulunan SDN mimarisi ve konfigürasyonu ile neler yapabiliriz hakkında ki yazım için keyifli okumalar dilerim.
Makalade Neler Var?
SDN Nedir?
Software Defined Networking( Yazılım Tanımlı Ağ) anlamına gelen network ürünlerinin sadece source-destination arasındaki haberleşmeden daha çok ileriye geçerek artık uygulamaların bile ağ üzerinde kontrol edilebiliceği bir mimariyi bizlere sunmaktadır. SDN, network yapılarının yazılımların akıllı ve merkezi olarak yönetilmesi veya programlanmasını sağlayan bir ağ mimarisidir.
Network mimarileri karışık teknolojik donanımlardan oluşabilir. Yazılım tabanlı ağ, bu parçaların tutarlı yönetimini sağlar. Teknolojik gelişmelere ayak uydurmak isteyenlerde artık SDN, SD-WAN gibi terimlerle artık daha uyumlu çalışmaktadır.
SDN aslında sadece entegrasyon daha çok yönetildiğinde büyük ölçekte kesintisizliğe tahammülü olmayan yapıları bile kara geçirebilecek yöntem olabilmektedir. Benim ilk karşılaştığım projede SDN mimarisi, SD-WAN mimarisi, VXLAN,VTEP protokolleri ile bir Multi-Cloud projesiydi. Bir mikro servis bile bu sistemler üzerinden çalıştırılan sanal sistemlerden taşınarak başka bir ortamda kaldığı yerden devam edebiliyordu. Örneğin Amazon üzerinde koşan bir yapınızın bir problem olduğunda Azure üzerinde kaldığı yerden devam edebileceğini görebilirsiniz.
Bundan dolayı SDN mimarisi gelecekte geleneksel obje tanımlı Firewall değerlerinin yerini alarak artık “Business Continuity” gibi terimlerin L1 seviylerini oluşturacaktır.
Fortigate Firewall SDN yapılandırılması
Fortinet bilindiği üzere Security Fabric kavramına önem veren ve sistemleri entegreli olarak çalışmasına vurgu yapan bir üreticidir. SDN sadece fortigate obje tanımından ibarit bir durum kesinlikle değildir, derya denizdir. Ama elimizdeki imkanlarla bu terimlere adaptasyon için umarım yol gösterici olur.
Fabric yapısında tanımlamaları yapılarak Firewallarınızda klasik obje tanımlamları yerine Vmware ortamındaki sunucuların SDN ile yöneterek internete çıkarmak için basit bir konfigürasyon adımlarını anlatmaya çalışacağım.
İlk başta Firewall arayüzünden Fabric altında External Connectors altında Create New diyerek aşağıdaki ekrana ulaşıyoruz.
Bizim yapımızda sanallıştırma mimarisi olarak Vmware olduğundan onu seçiyorum. Yine Azure, Amazon, AliCloud gibi ortamlarda bir yapınız varsa yetkili bir hesap bile entegre edebilirsiniz.
Burada Vcenter üzerinde yetkili bir kullanıcı hesabını açmanız gerekmektedir. Fabric buraya bağlanarak Vcenter üzerindeki verileri çekecektir.
Tanımlamar yapıldıktan Fabric ekranınızda aşağıdaki gibi entegre olduğunu görebilirsiniz
Şimdi artık Objemizi tanımlamaya geçebiliriz. Adresses üzerinden devam ediyoruz ama artık Type Dynamic seçerek Fabric ile bağladığımız Vcenter objemizi seçeceğiz.
Vcenterda tanımlı setleri gördükten sonra artık burda ne tarz bir obje tanımının oluşturulması size kalmış. Network yöneticileri genel olarak “virtual switch”, “virtual machine” ya da “Vlan ID” tanımlarını alabiliyor. Fakat yukarda da bahsettiğim gibi bir mikro servisiniz varsa bunu da seçerek firewall kurallarınızı yönetebilirsiniz. Burda oluşturulan objeler dinamik obje olarak tarif edilir.
Ben örnek olması için VLAN ID lerine göre tanımlama yaptım. Dinamik obje türümüzü seçtikten sonra OK diyerek tanımlamamızı yapıyoruz.
Artık firewall kurallarına geçebiliriz. Burda Belirlediğimiz dinamik obje ile SD-WAN üzerinden internet erişimi tanımını giriyorum.
Aşağı resimdeki gibi kurallarımızı inceldiğimizden obje içerisinde tanımlı IP blokları dinamik olarak gelmektedir.
Bu durumun bize basit olarak ne avantajı ne olabilir?
- Statik Obje kalabalığından arındırılmış oluruz
- Silinmesi unutulan IP lerin kuralları otomatik olarak sunucu dinamil objeden silineceğinden, bir zaafiyet oluşturmayacaktır.
- İlgili sunucu erişimleri için fazla efora gerek kalmayacaktır. Sistem ekiplerine VLAN geçişlerini anlatarak istedikleri yönlendirmeleri yapabilirler. İnternet erişimi ve güncelleme için ilgili VLAN çektirip sonra geri aldırmalarını söyleyebilirisiniz.
- Erişim yönetimlerini otomatize ederek sistem ekiplerinin VLAN değiştirmesiyle yönetebilirsiniz…..
gibi sıralayabiliriz, belki sizler daha farklı esnek taktiklerde yapabilirsiniz
Peki Dezavantajı nedir?
- Vcenter username şifresini değiştirdiğinizde firewall üzerinde de güncellemeyi unutmayın… 😀 😀
Buraya kadar okuyan herkese teşekkürler
Herkese kesintisiz günler dilerim..