vShield App设计指南[中]

基于vShield App的设计方法

 

为了克服虚拟基础架构给IT管理员所带来的挑战，下面将向你们介绍一种全新的，简单且自适应的vShield App解决方案。这种新方法与传统的方法大不相同，须要安全管理员与虚拟架构管理员紧密协做。安全管理员在建立规则时，不只能够基于IP地址等网络参数，还能够基于CPU/内存资源组或是虚拟基础架构管理员建立的安全组。

在一个典型的数据中心，安全管理员须要划份内部区域并分配相应的安全策略，虚拟基础架构管理员则须要根据组织的须要来划分资源池。在VMware的虚拟化环境中，资源池（RP）容许你对一台独立主机或是一个DRS集群中的CPU和内存等资源加以控制。划分资源有两种主要方法：

1)      资源池（RP）法：这种方法使客户可以控制一台主机或一组集群中的资源，像虚拟机同样，资源池对于CPU和内存也能够配置保留值，限额以及共享值。基于客户的须要，资源池能够配置成多层次结构，根资源池能够为不一样组织（FIN，HR，Sales）的子资源池服务。

2)      vApp模式：vApp是一个容器，像资源池同样，它能够包含一个或多个虚拟机。它也具备一些虚拟机的功能，你能够对一个vApp加电或关机，也能够克隆一个vApp。这些功能特性能够帮助用户部署和管理多层应用程序。管理每一层的操做策略和服务质量。

vShield App能够在VMware环境中基于逻辑组来建立规则，这些组基于数据中心，集群，资源池或vApp等。还能够建立安全组加以补充。

下面经过一个例子来介绍安全规则：

禁止RP1到RP2的流量：这一规则用于禁止资源池RP1中的数据向资源池RP2传递。在定义这条规则时不须要提供IP地址，这样就简化了安全规则的管理。并且，这些规则能够被组中的虚拟机继承。只要管理员将虚拟机放入了正确的组，安全策略就会发生做用，即便因为主机故障或资源不足致使虚拟机迁移到了其它的主机上，安全策略仍然有效。

下面的部分会介绍两种基于vShield App的设计方法，一种方法使用资源池来分隔企业中的资源，第二种方法使用vApp来隔离资源。 同时也会讨论在两种不一样的状况下应该如何设计安全规则。

下面这些设计组件对两种方法都适用：

经常使用组件

下面是设计中的经常使用组件。不包括构建虚拟基础架构所需的外部网络和存储基础架构。这里假定客户环境中采用的是iSCSI或FC SAN，网络中部署有交换机和路由器。

主机

由多台服务器提供计算力，内存和网络资源。示例配置，HP ProLiant DL380机架式服务，配置两颗Intel至强CPU（每颗4核），96G内存，2块10G网卡，安装ESX/ESXi。硬件的配置决定其上能够运行的虚拟机数量及能够负担的工做负责。

vShield App

vShield App是一个内部的，虚拟网卡级别的防火墙，利用它你能够基于网络拓扑来建立访问控制策略。vShield App监视全部进出ESX主机的流量，包括属于同一端口组的虚拟机之间的流量。vShield App包括流量分析功能，也支持基于容器的策略。每台主机须要部署一个vShield App虚拟设备。

集群

一个集群是一组提供资源的ESX/ESXi主机和与之相关的，分享这些资源的虚拟机。当你将一台主机添加到DRS集群时，主机的资源就成为集群资源的一部分。本设计中使用的是一个有六台主机的集群。

内部区域/租户的数量

如前所述，安全管理员会根据风险的大小以及资源的重要性来建立内部区域和安全策略，内部安全区域能够基于不一样的部门，如HR，Finance和Marketing，也能够基于应用的层级，如Web，App和DB等。区域的数量根据用户须要而定。

在下面的设计方案中，能够为三个部门（HR，Finance和Sales）建立三个内部安全区域，也能够为不一样的应用层（Web，App和DB）建立内部安全区域，咱们将这三个安全区域命名为internal zone 1，internal zone 2和internal zone 3。

安全规则

下面是安全管理员为保护各区域而制定的安全规则：

·         Internet → internal zone 1 : 只容许 TCP port 80流量经过

·         Internal zone1 →  internal zone 2 : 只容许TCP port 2222流量经过

·         Internal zone1 →  internal zone 3 : 全部流量禁止经过

·        Internal  zone2 →   internal zone 3 : 只容许 TCP port 3333 流量经过