vShield App設計指南[下]

設計方案1（基於資源池的資源分配）

資源池的數量

在這一設計中，集羣中有6臺主機，客戶在根資源池中建立子資源池。這種層次結構的資源池使得VI管理員能夠經過指定每一個資源池的保留值，共享值和資源上限等爲不一樣的組織分配資源。

如圖6所示，咱們設計了三個資源池RP1，RP2和RP3。這些子資源池用於向三個不一樣的組織（HR，Finance和Sales）提供資源。

將內部區域安全規則映射到資源池

VI管理員基於資源池將資源分配到內部區域，爲內部區域定義的安全規則能夠被映射到相應的資源池：

1)      Data center → RP 1 : 只容許 TCP port 80流量經過

2)      RP1 → RP2 : 只容許TCP port 2222流量經過

3)      RP1 → RP3 : 全部流量禁止經過

4)      RP2 →  RP3 : 只容許TCP port 3333流量經過

vShield App中的安全策略

vShield App是一個集中管理的，層次結構的防火牆。客戶能夠在數據中心，集羣，資源池以及vApp級別建立規則。這些不一樣的級別也被稱爲容器，規則應用的優先順序是：

1)      Data Center High Precedence Rules數據中心高優先級規則

2)      Cluster Level Rules羣集級別規則

3)      Data Center Low Precedence Rules數據中心低優先級規則

4)      User defined Security Group Rules用戶定義安全組規則

5)      Default Rules缺省規則

vShield App監視進出ESX主機的流量以及同一端口組中各虛擬機之間的流量以強制規則實現，強制策略時基於容器級別的優先級或自定義優先級別。容器級優先指數據中心級別的優先級高於羣集級。當在數據中心級別配置規則時，此處的全部羣集和 vShield代理都將繼承此規則。由於數據中心高級別規則優先於羣集級別規則，請確保集羣級別規則與數據中心高級別規則不存在衝突。

客戶也能夠在每一個容器級別配置容許或禁止所有流量的缺省規則，如：

缺省容許全部流量：在這種狀況下，客戶保留缺省的容許全部流量經過的規則，基於流量監視數據來建立禁止規則或手工配置應用防火牆。若是一個會話沒有匹配任何禁止規則，vShield App將容許流量經過。

缺省禁止全部流量：這種狀況與前一種恰好相反，須要明確指出容許經過的系統和應用。若是一個會話沒有匹配任何一條容許規則，vShield App將丟棄會話流量。

前面定義的安全規則能夠經過下述配置實現：

數據中心級別策略 (高優先級規則)

-          只容許 TCP port 80流量經過

-          容許來自每一個資源池的經常使用基礎架構流量（如DNS/DHCP）經過

-          禁止其它流量

集羣級別策略

-          容許用戶從數據中心外部訪問特定的應用程序（TCP Port 80流量）

-          容許來自每一個資源池的經常使用基礎架構流量（如DNS/DHCP）經過

資源池級別策略

-          容許TCP port 2222流量從RP1到RP2經過

-          容許TCP port 3333流量從RP2到RP3經過

-          RP2與RP3之間全部其它流量禁止經過

-          RP1與RP3之間全部流量禁止經過

部署

一旦客戶肯定了內部區域，安全策略和資源池劃分，就應該開始部署了，如圖5所示，集羣中有6臺主機，三個資源池用於運行不一樣的應用程序。

1)      在每臺物理主機上部署一個vShield App

2)      建立資源池

3)      在數據中心，集羣和資源池級別定義安全策略，並在羣集級別的App Firewall標籤上應用策略。

 

高可用

VMware vSphere平臺具備HA和DRS等特性，能夠提供彈性和可用性保證。當出現不一樣類型的故障時，vShield App設備均可以對虛擬基礎架構提供持續保護。

·  物理主機失效：若是主機中止工做了，vShield App設備也就無效了，須要它來保護的虛擬機也中止了。若是啓用了HA，則虛擬機會在集羣中的其它主機上面自動重啓，該主機會對虛擬機繼續提供保護。

·  虛擬機失效：心跳監視機制幫助檢測虛擬機中的操做系統失效，當檢測到這種事件時，虛擬機將被從新啓動。安全規則無需改變，vShield App設備對虛擬機持續提供保護。

·  vShield App虛擬機失效：若是vShield App設備失效，全部進出該主機的流量都將受到影響，在設備完成重啓以前，該主機上的虛擬機將沒法進行通信。

·  vShield Manager失效：若是vShield Manager宕機，vShield App設備將繼續提供安全保護，可是新虛擬機將不能被加入到安全組。同時，流量監視數據也可能丟失。

vShield App 設備的一些限制:

1)      vShield App虛擬機與物理主機綁定：vShield App防火牆與安全規則和物理主機上的虛擬機狀態密切相關， vShield App虛擬機不能被手工遷移或由DRS自動遷移到其它物理主機。

2)      配置啓動順序：要確保某臺物理主機上的全部虛擬機都被正確的保護，要確保先於全部虛擬機開啓vShield App設備，當物理主機從新啓動時，vShield基礎架構能夠保證這一點。

3)      對vShield App設備限制權限：VI管理員不該該被容許對vShield App虛擬機執行特權操做（如刪除或移動等）。

 

圖 6  基於資源池的設計

設計方案2 (基於vApp的資源分配)

vApp資源池的數量

在這一設計中，根級別的資源池擁有來自6臺主機的資源。客戶想要經過vApp容器來管理資源分配。不一樣於前述方案，咱們不會根據不一樣組織的需求來分配資源，而是根據每一個應用層來指定保留值，共享值和上限數值等。vApp在多層應用部署的狀況下能夠提供更好的靈活性與服務質量保證。

如圖7所示，咱們建立了三個vApp資源池，分別是Web，App和DB層。這三個vApp資源池用於爲三個不一樣的應用層提供資源。

映射內部區域安全規則到vApp資源池

若是VI管理員基於vApp資源池來分配資源到內部區域，那麼爲內部區域定義的安全規則就應該映射到對應的vApp資源池：

1)      數據中心 → Web : 只容許 TCP port 80流量經過

2)      Web → DB : 全部流量禁止經過

3)      Web → App : 只容許TCP port 2222流量經過

4)      APP →  DB : 只容許TCP port 3333流量經過

vShield App安全策略

咱們在方案選項1中提到過，要確保集羣級別規則與數據中心高優先級規則不存在衝突 。

數據中心級別策略 (高優先級規則)

-          對Web層只容許 TCP port 80流量經過

-          容許來自每一個資源池的經常使用基礎架構流量（如DNS/DHCP）經過

-          禁止其它流量

集羣級別策略

-          容許用戶從數據中心外部訪問特定的應用程序（TCP Port 80流量）

-          容許來自每一個資源池的經常使用基礎架構流量（如DNS/DHCP）經過

資源池級別策略

-          容許TCP port 2222流量從Web到App經過

-          容許TCP port 3333流量從App到DB經過

-          App與DB之間全部其它流量禁止經過

-          Web與DB之間全部流量禁止經過

 

部署

一旦客戶肯定了內部區域，安全策略和資源池劃分，就應該開始部署了，如圖6所示，集羣中有6臺主機，三個資源池用於運行不一樣的應用程序。

1)      在每臺物理主機上部署一個vShield App

2)      建立資源池

3)      在數據中心，集羣和vApp級別定義安全策略，並在羣集級別的App Firewall標籤上應用策略。

 

高可用

與上一方案相同，再也不累述。

 

圖 7：vApp設計方案    

結論

基於vShield App的安全解決方案能夠爲用戶構建一個很是容易部署和管理的安全虛擬基礎架構。vShield App是虛擬網卡級別的防火牆，它能夠簡化資源分組，對於IT管理員來講，很是容易理解和掌握。