×
ข้ามไปยังเนื้อหาหลัก

การตั้งค่า Virtual Router บน Sangfor SCP

ปรับปรุงเมื่อ

บทนำ (Introduction)

Virtual Router เป็น component หลักในระบบ VPC networking ของ Sangfor SCP ทำหน้าที่สำคัญหลายประการ ได้แก่ การ routing traffic ระหว่าง subnet ภายใน VPC, การควบคุม access ด้วย ACL (Access Control List) และการเชื่อมต่อ VPC กับ Physical Edge เพื่อให้ VM สามารถออก Internet ได้ Virtual Router จะทำงานได้เฉพาะบน node ที่ถูกกำหนดเป็น Network Node เท่านั้น โดย default ทุก node จะถูก mark เป็น Network Node อยู่แล้ว

 

ข้อกำหนดเบื้องต้น (Prerequisites)

ก่อนเริ่มตั้งค่า Virtual Router ต้องมั่นใจว่าระบบมีความพร้อมดังนี้:

  • SCP platform ถูก deploy เรียบร้อยแล้ว และมี Resource Pool ที่พร้อมใช้งาน
  • Node อย่างน้อย 1 ตัวถูก mark เป็น Network Node (ตรวจสอบได้จาก Topology > Network Node Settings)
  • VPC ถูกสร้างเรียบร้อยแล้ว และผูกกับ VPC Gateway แล้ว
Router Settings ACL tab - Add New Rule dialog showing Source, Destination, Service, and Action fields

 

การจัดการ Subnet

Subnet คือ network segment ที่ VM จะใช้งานภายใน VPC โดย VM จะเชื่อมต่อกับ subnet ผ่าน Virtual Switch

ขั้นตอนการสร้าง subnet:

  1. เข้าไปที่ VPC ที่ต้องการ แล้วเลือก Virtual Router
  2. ไปที่ Router Settings > Subnet tab
  3. คลิก Create เพื่อสร้าง subnet ใหม่
  4. กำหนดค่าต่อไปนี้:
    • Subnet Name: ตั้งชื่อ subnet ที่สื่อความหมาย
    • IP Range: กำหนด IP range สำหรับ subnet เช่น 192.168.1.0/24
    • Gateway: กำหนด gateway IP address เช่น 192.168.1.1
  5. คลิก OK เพื่อบันทึก

หลังสร้าง subnet แล้ว สามารถนำ subnet นี้ไปใช้กับ VM โดยเลือก subnet ที่สร้างไว้ตอนกำหนด network interface ของ VM

 

การตั้งค่า Static Route

Static Route ใช้เมื่อต้องการ route traffic ไปยัง network ที่ไม่ได้อยู่ใน subnet ของ router โดยตรง เช่น การเชื่อมต่อไปยัง network ของ VPC อื่น หรือ network ภายนอก

ขั้นตอนการตั้งค่า:

  1. เข้าไปที่ Router Settings > Static Route tab
  2. คลิก Create เพื่อเพิ่ม static route ใหม่
  3. กำหนดค่าต่อไปนี้:
    • Destination Network: กำหนด destination network ปลายทาง เช่น 10.0.0.0/24
    • Next Hop: กำหนด next hop IP address ที่ traffic จะถูกส่งไป
  4. คลิก OK เพื่อบันทึก

 

การตั้งค่า ACL (Access Control List)

ACL ใช้สำหรับควบคุมการเข้าถึง network traffic ภายใน VPC โดยสามารถกำหนดได้ว่าจะอนุญาตหรือบล็อก traffic ตาม source, destination และ service ที่กำหนด

ขั้นตอนการตั้งค่า:

  1. เข้าไปที่ Router Settings > ACL tab
  2. คลิก Create เพื่อเพิ่ม ACL rule ใหม่
  3. กำหนดค่าต่อไปนี้:
    • Source: เลือกประเภท source ได้แก่ Any IP Address, IP Group, IP Range, Virtual Machine หรือ VM Group
    • Destination: กำหนด destination ในรูปแบบเดียวกับ source
    • Service: เลือก service หรือ port ที่ต้องการควบคุม
    • Action: เลือก Discard เพื่อบล็อก หรือ Allow เพื่ออนุญาต traffic
  4. คลิก OK เพื่อบันทึก

ข้อควรทราบเกี่ยวกับ Security Baseline Policy:

  • ตั้งแต่ SCP version 6.7.30 ขึ้นไป ระบบจะมี security baseline policy ที่บล็อก public network traffic เข้ามายัง VPC โดย default
  • สำหรับระบบที่ upgrade มาจาก version ก่อนหน้า จำเป็นต้องสร้าง ACL rule เอง
  • เมื่อมี policy ที่บล็อก inbound traffic จาก public network อยู่ หากต้องการให้ external access เข้ามาได้ (เช่น allow SSH หรือ HTTP จากภายนอก) จะต้องสร้าง regular ACL rule เพื่อ release traffic ดังกล่าว
  • การแก้ไข blocking policy ของ high-risk ports สามารถทำได้โดย administrator เท่านั้น tenant ไม่สามารถแก้ไขได้

การจัดลำดับ Priority ของ ACL:

ACL rule จะถูกประมวลผลตามลำดับจากบนลงล่าง สามารถปรับลำดับได้โดยใช้:

  • Move Up: เลื่อน rule ขึ้น 1 ลำดับ
  • Move Down: เลื่อน rule ลง 1 ลำดับ
  • Move to: ย้าย rule ไปยังตำแหน่งที่ต้องการ
Create Internal DNS dialog showing Domain Name, IP Address, and Description fields

 

 

 

การตั้งค่า DNS Server

DNS Server ใช้สำหรับกำหนด DNS ที่ VM ภายใน VPC จะใช้ในการ resolve domain name

ขั้นตอนการตั้งค่า:

  1. ผูก Elastic IP กับ VPC edge ก่อน (จำเป็นต้องทำก่อนตั้งค่า DNS)
  2. เข้าไปที่ Router Settings > DNS Server tab
  3. กำหนดค่าต่อไปนี้:
    • Preferred DNS: กำหนด DNS server หลัก เช่น 8.8.8.8
    • Alternate DNS: กำหนด DNS server สำรอง เช่น 8.8.4.4
  4. คลิก OK เพื่อบันทึก

ข้อควรระวัง: เมื่อ DNS server และ VPC edge IP มาจาก service provider คนละเจ้ากัน อาจเกิดปัญหา network disconnection หรือ slowness ได้ นอกจากนี้ หลังจากเปลี่ยน DNS server แล้ว การ update จะถูกส่งไปยัง VM ทั้งหมดภายใน VPC โดยอาจใช้เวลาถึง 1 วันกว่าจะ update ครบทุก VM

 

การตั้งค่า Internal DNS

Internal DNS ใช้สำหรับกำหนด DNS record ภายใน VPC เพื่อให้ VM สามารถเข้าถึง intranet server ผ่าน domain name ได้โดยไม่ต้องพึ่ง external DNS

ขั้นตอนการตั้งค่า:

  1. เข้าไปที่ Router Settings > Internal DNS tab
  2. คลิก Create เพื่อเพิ่ม DNS record ใหม่
  3. กำหนดค่าต่อไปนี้:
    • Domain Name: กำหนด domain name เช่น app.internal.local
    • IP Address: กำหนด IP address ที่ domain name จะ resolve ไป
    • Description: ใส่คำอธิบายเพิ่มเติม (optional)
  4. คลิก OK เพื่อบันทึก

ข้อจำกัดของ Internal DNS:

  • ไม่อนุญาตให้สร้าง duplicate internal DNS records (domain name + IP ซ้ำกัน)
  • Domain name 1 ชื่อสามารถ map ได้สูงสุด 8 IP addresses
  • หลังจากตั้งค่า internal DNS แล้ว browser อาจ cache DNS record เดิมไว้ จำเป็นต้อง clear browser cache หรือรอให้ cache หมดอายุก่อนจึงจะใช้งานได้

 

 

 

 

หมายเหตุ (Additional Notes)

  • Virtual Router สามารถ run ได้เฉพาะบน Network Node เท่านั้น โดย default ทุก node จะถูก mark เป็น Network Node สามารถตรวจสอบและเปลี่ยนแปลงได้จาก Topology > Network Node Settings
  • Router ของ VPC จะเชื่อมต่อกับ Physical Edge ของ cluster ตัวเองเท่านั้น ไม่สามารถเชื่อมต่อข้าม cluster ได้
  • ในกรณีที่มี Communication Domain: VM สามารถข้าม L2 network (VXLAN) ไปถึง Virtual Router ของอีก cluster ได้ แต่ Virtual Router นั้นจะออก Internet ผ่าน Physical Edge ของ cluster ตัวเองเสมอ
  • การวางแผน subnet ควรคำนึงถึงจำนวน VM ที่จะใช้งานใน VPC และ IP range ที่ต้องการ เพื่อหลีกเลี่ยงปัญหา IP exhaustion ในอนาคต

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น