vShield App設計指南[中]

基於vShield App的設計方法

 

爲了克服虛擬基礎架構給IT管理員所帶來的挑戰，下面將向你們介紹一種全新的，簡單且自適應的vShield App解決方案。這種新方法與傳統的方法大不相同，須要安全管理員與虛擬架構管理員緊密協做。安全管理員在建立規則時，不只能夠基於IP地址等網絡參數，還能夠基於CPU/內存資源組或是虛擬基礎架構管理員建立的安全組。

在一個典型的數據中心，安全管理員須要劃份內部區域並分配相應的安全策略，虛擬基礎架構管理員則須要根據組織的須要來劃分資源池。在VMware的虛擬化環境中，資源池（RP）容許你對一臺獨立主機或是一個DRS集羣中的CPU和內存等資源加以控制。劃分資源有兩種主要方法：

1)      資源池（RP）法：這種方法使客戶可以控制一臺主機或一組集羣中的資源，像虛擬機同樣，資源池對於CPU和內存也能夠配置保留值，限額以及共享值。基於客戶的須要，資源池能夠配置成多層次結構，根資源池能夠爲不一樣組織（FIN，HR，Sales）的子資源池服務。

2)      vApp模式：vApp是一個容器，像資源池同樣，它能夠包含一個或多個虛擬機。它也具備一些虛擬機的功能，你能夠對一個vApp加電或關機，也能夠克隆一個vApp。這些功能特性能夠幫助用戶部署和管理多層應用程序。管理每一層的操做策略和服務質量。

vShield App能夠在VMware環境中基於邏輯組來建立規則，這些組基於數據中心，集羣，資源池或vApp等。還能夠建立安全組加以補充。

下面經過一個例子來介紹安全規則：

禁止RP1到RP2的流量：這一規則用於禁止資源池RP1中的數據向資源池RP2傳遞。在定義這條規則時不須要提供IP地址，這樣就簡化了安全規則的管理。並且，這些規則能夠被組中的虛擬機繼承。只要管理員將虛擬機放入了正確的組，安全策略就會發生做用，即便因爲主機故障或資源不足致使虛擬機遷移到了其它的主機上，安全策略仍然有效。

下面的部分會介紹兩種基於vShield App的設計方法，一種方法使用資源池來分隔企業中的資源，第二種方法使用vApp來隔離資源。 同時也會討論在兩種不一樣的狀況下應該如何設計安全規則。

下面這些設計組件對兩種方法都適用：

經常使用組件

下面是設計中的經常使用組件。不包括構建虛擬基礎架構所需的外部網絡和存儲基礎架構。這裏假定客戶環境中採用的是iSCSI或FC SAN，網絡中部署有交換機和路由器。

主機

由多臺服務器提供計算力，內存和網絡資源。示例配置，HP ProLiant DL380機架式服務，配置兩顆Intel至強CPU（每顆4核），96G內存，2塊10G網卡，安裝ESX/ESXi。硬件的配置決定其上能夠運行的虛擬機數量及能夠負擔的工做負責。

vShield App

vShield App是一個內部的，虛擬網卡級別的防火牆，利用它你能夠基於網絡拓撲來建立訪問控制策略。vShield App監視全部進出ESX主機的流量，包括屬於同一端口組的虛擬機之間的流量。vShield App包括流量分析功能，也支持基於容器的策略。每臺主機須要部署一個vShield App虛擬設備。

集羣

一個集羣是一組提供資源的ESX/ESXi主機和與之相關的，分享這些資源的虛擬機。當你將一臺主機添加到DRS集羣時，主機的資源就成爲集羣資源的一部分。本設計中使用的是一個有六臺主機的集羣。

內部區域/租戶的數量

如前所述，安全管理員會根據風險的大小以及資源的重要性來建立內部區域和安全策略，內部安全區域能夠基於不一樣的部門，如HR，Finance和Marketing，也能夠基於應用的層級，如Web，App和DB等。區域的數量根據用戶須要而定。

在下面的設計方案中，能夠爲三個部門（HR，Finance和Sales）建立三個內部安全區域，也能夠爲不一樣的應用層（Web，App和DB）建立內部安全區域，咱們將這三個安全區域命名爲internal zone 1，internal zone 2和internal zone 3。

安全規則

下面是安全管理員爲保護各區域而制定的安全規則：

·         Internet → internal zone 1 : 只容許 TCP port 80流量經過

·         Internal zone1 →  internal zone 2 : 只容許TCP port 2222流量經過

·         Internal zone1 →  internal zone 3 : 全部流量禁止經過

·        Internal  zone2 →   internal zone 3 : 只容許 TCP port 3333 流量經過