Fencing技術在vCloud中的應用

 在雲計算平臺的安全防禦技術中，最重要的就是隔離保護技術，VMware在去年下半年發佈了雲基礎架構解決方案套件，其中包括用於解決雲安全問題的vShield組件，它能夠和vCloud Director組件一塊兒協同工做，在多租戶的雲環境下提供便捷有效的隔離保護功能。下面我將以vShield如何vCloud中的虛擬應用(vApp)爲例，來向你們介紹vShield在雲環境中的具體用法。

在一個多租戶的雲環境中，主要存在三種不一樣類型的網絡，分別是公共網絡，組織網絡和虛擬應用網絡，爲了保證系統、應用和數據的安全，用戶可能但願在兩個網絡之間實現安全隔離，同時，基於雲平臺自服務的特性，用戶會要求自主完成安全防禦的設計，部署與管理。藉助於vCD和vShield Edge解決方案，基於vCloud來構建雲平臺的服務提供者能夠知足用戶的上述要求，下邊咱們來看一下如何實現。

實驗拓撲圖以下：
•vApp1和vApp2直接鏈接到組織網絡1(192.168.1.0/24)
•vApp3採用Fenced方式(vShield Edge隔離)鏈接到組織網絡1
•vApp4先鏈接到routed_apps網絡(192.168.2.0/24)，再經過vShield Edge鏈接到組織網絡1



vApp1與vApp2是第一種狀況，直接鏈接到組織網絡，無vShield Edge
vApp3採用Fenced方式鏈接到組織網絡，vShield Edge兩邊是同一子網，vShield Edge提供NAT和ARP-Proxy功能。
vApp4直連到routed_apps網絡，再經過vShield Edge路由到組織網絡，vShield Edge提供路由，NAT和DHCP功能。
 

 

 

vApp採用直連方式接入組織網絡的實現
建立vApp時選擇組織網絡做爲vApp內部虛擬機所鏈接網絡。
在網絡配置頁面上不要選擇「Fence vApp」複選框。

vApp採用Fenced方式接入組織網絡的實現
建立vApp時選擇組織網絡做爲vApp內部虛擬機所鏈接網絡。
在網絡配置頁面上選擇「Fence vApp」複選框。

vApp採用Routed方式接入組織網絡的實現
建立vApp時選擇「Add Network」，指定新建網絡的地址和名稱等參數。
在網絡配置頁面上選擇「Show networking details」複選框，鏈接新建網絡到組織網絡。

 

 

直連模式下的通信驗證
vApp1與vApp2直接鏈接到組織網絡，相互之間能夠直接通信，無網絡隔離。
根據ARP表可知，vApp1和vApp2中的主機經過ARP協議直接得到對方MAC地址。

Fenced模式下的通信驗證
vApp3經過vShield  Edge鏈接到組織網絡，vShield Edge提供Firewall和NAT功能。
根據vApp01,vApp02和vApp03中三臺虛擬機上的ARP輸出可知，vShield Edge提供了Proxy-ARP功能，以保證內外網之間的主機能夠正常通信。
vShield Edge也提供了NAT功能，vApp03中主機的內部地址爲192.168.1.100,外部地址爲192.168.1.104(vShield Edge的內外口地址分別爲192.168.1.101和192.168.1.103)

Routed模式下的通信驗證
vApp4經過vShield  Edge鏈接到組織網絡，vShield Edge提供Firewall和NAT功能。
vApp4中的主機IP地址爲192.168.2.100，被NAT映射爲192.168.1.107。
vShield Edge的內外口地址分別爲192.168.2.1(Gateway)和192.168.1.106。
vShield Edge也提供了Firewall和DHCP功能。

Fenced與Routed兩種鏈接方式比較接近，該如何進行選擇？

下述狀況使用Fenced模式
組織網絡地址資源夠用，不想建立新的網段。

下述狀況使用Routed模式
非vApp外連網絡(Fenced模式只支持vApp網絡)。
上級網絡地址資源不足，須要建立新的網段以擴充可用地址。
想保持vApp內部已配置的主機地址不變。
須要使用DHCP功能爲內部主機分配地址。

[完]