Нередко к нам обращаются с вопросом: «Можно ли установить в вашем облаке Router OS (MikroTik)» — первое, что возникает у нас в голове при виде этого вопроса: «Зачем?» — однако существует ряд логичных и весомых причин для использования программно-определяемых маршрутизаторов, отличных от предоставляемых облачным провайдером (VMware NSX Edge). Давайте подумаем, какие же это могут быть причины.
- Однотипный знакомый интерфейс на всех сетевых устройствах – довольно удобно иметь одинаковый интерфейс на всех маршрутизаторах, используемых в работе, особенно когда компания использует гибридное облако, разделяя ресурсы между разными облачными провайдерами. Не придется тратить время на изучение и понимание принципов и тонкостей работы с разномастными программно-определяемыми роутерами – можно быстро и четко выполнить необходимую задачу, сводя влияние человеческого фактора к минимуму.
- Исключение проблем кроссплатформенности – ни для кого не секрет, что такие проблемы есть и могут быть в будущем. Легче привести сетевую инфраструктуру к унифицированному виду, чем тратить время на поиск багов во взаимодействии маршрутизаторов разных производителей, что может быть нигде не задокументировано.
- Ограничение доступа провайдера публичного облака до настроек маршрутизатора – нечасто мы задумываемся, что провайдер публичного облака – это буквально большой брат, который имеет доступ ко всем настройкам внутри своей инфраструктуры, включая возможность увидеть pre shared key(PSK) IPsec VPN туннеля, который, казалось бы, должен быть виден только для пользователя. Это порождает новые безопасностные риски, которых можно избежать, скрыв от провайдера сетевые настройки.
- Быстрый перенос инфраструктуры от одного провайдера публичного облака к другому – к сожалению, стабильность в наше время — понятие абстрактное, поэтому легче всего иметь полностью готовую к работе виртуальную инфраструктуру. Это позволит свести к минимуму возможность возникновения проблем функционирования рабочих виртуальных машин в новой среде.
- Исключение дополнительных затрат на активацию сетевых функций провайдера – зачем платить больше, если можно использовать собственные программные решения? Зачастую стоимость ресурсов, используемых для функционирования Router OS намного меньше, чем приобретение различных сетевых опций (VPN, проброс портов) у некоторых провайдеров публичных облаков, например Облакотека.
Итак, как лучше всего приступить к работе по развертыванию Router OS в инфраструктуре VMware, используя vCloud Director 10? Легче всего это сделать, обратившись в службу поддержки облачного провайдера – это избавит пользователя от возможности возникновения проблем на стадии развертывания решения.
Первое, с чего стоит начать, скачав образ Cloud Hosted Router с официального сайта (образ в .ova формате), так это с проверки хэш-суммы файла. Проверить хэш-сумму можно стандартными средствами ОС Windows: консольная команда
certutil -hashfile "путь к файлу" MD5
Убедившись, что хэш-суммы совпадают, можно продолжать работу по развертыванию программного решения.
Для загрузки собственного образа в облако необходимо создать личный каталог: в верхней панели выбрать
Libraries -> Content Libraries -> Catalogs -> New
Вводим имя нового каталога, можно, при необходимости, указать необходимую политику хранения для данного каталога.
После создания нового каталога пользователя мы уже можем загрузить наш .ova образ в шаблоны виртуальных машин:
Libraries -> Content Libraries -> vApp Templates -> New
Нажимаем кнопку Browse и выбираем нашу виртуальную машину в формате .ova
Проверяем верность информации об образе и импортируем образ в созданный нами ранее каталог.
После нажатия на кнопку Finish, мы увидим, что началась загрузка образа. Как только статус шаблона перейдет в Normal, мы сможем разворачивать этот шаблон в новый vApp.
В панели Libraries -> Content Libraries -> vApp Templates выбираем загруженный нами шаблон и нажимаем на Create vApp
Выбираем соответствующее нашим запросам имя нового vApp
Выбираем политику хранения для развертывания шаблона
В Configure Networking необходимо проверить, что сетевой адаптер выбран типа VMXNET3 (для этого необходимо выбрать галочку Switch to the advanced networking workflow)
После этого осталось только выбрать выделяемые виртуальной машине ресурсы и нажать на Finish
В результате успешного развертывания шаблона у нас появится новый vApp с новой виртуальной машиной с Router OS в статусе Powered Off
Для подключение виртуальной машины к сети организации необходимо добавить эту сеть в vApp:
Compute -> vApps -> Details -> Networks -> New
и выбираем нашу сеть в поле OrgVDC NetworkВ настройках виртуальной машины изменяем сеть, подключенную к сетевому адаптеру:
Compute -> Virtual Machines -> Details -> Hardware -> NICs -> Network
Для подключения к консоли виртуальной машины в среде управления vCloud Director нажмите на изображение монитора во вкладке Compute -> Virtual Machines
Не забудьте сменить пароль администратора виртуальной машины перед подключением машины в сеть (данные для входа по умолчанию: admin без пароля), для этого в консоли наберите следующую команду для отображения всех пользователей.
/user print
После этого можно изменить пароль соответствующего пользователя
/user set 0 password=«пароль»
Далее нам необходимо настроить внешний интерфейс маршрутизатора и дефолтный маршрут, для возможности использования решения.
Чтобы отобразить все сетевые интерфейсы, доступные ОС, введите команду:
/interface ethernet print
После этого добавьте на данный интерфейс сетевой адрес и максу подсети командой:
/ip address add interface=”имя интерфейса” address=”ip адрес в свойствах виртуальной машины на этом интерфейсе” netmask=”маска подсети организации”
Проверьте правильность ввода данных выводом команды:
/ip address print
Для корректной работы маршрутизатора необходимо добавить маршрут по умолчанию:
/ip route add gateway=”ip адрес шлюза подсети” dst-address=0.0.0.0/0 distance=1
/ip route print
После смены пароля администратора ОС и настройки маршрута по умолчанию, мы можем включать правила Firewall и NAT для беспрепятственного проброса портов до MikroTik:
Networking -> Edges -> Services -> Firewall и NAT
После выполнения всех действий по внешнему Ip адресу должен быть доступен интерфейс настройки MikroTik для дальнейшего администрирования.
Не забудьте, что без должного лицензирования скорость передачи данных через Cloud Hosted Router будет ограничена.
Можно рассуждать сколько угодно о плюсах и минусах того или иного программного решения для маршрутизации траффика, однако все зависит от поставленных задач и сроков реализации. Никогда не стоит пренебрегать знаниями, которые могут пригодиться в самой неожиданной ситуации.