【TechTarget中国原创】一旦提起虚拟交换器,人们的第一反应就是在服务器台架上占1U或者2U空间的黑色或者者深蓝色盒子。思科、3Com或者Juniper生产的这个设备无处不在,共同构成了IT基础设施通信的网络架构。这些网络硬件之间是成熟的网间操作系统,这个操作系统管理复杂路由、交换以及用户对生产网络的访问控制。
但在当前的技术水平下,虚拟交换器和物理交换器却大不相同。在诸如Microsoft Hyper-V这样的虚拟平台内的虚拟交换器可能和物理交换器有点类似,但是虚拟交换器只能够提供物理服务器的一部分功能。
对于认为虚拟网络安全的公司来讲,缺少一些功能可能就是问题了。简单地说就是虚拟网络和物理网络不同,虚拟网络的安全问题需要更加谨慎。最重要的是Hyper-V的虚拟交换器属于“Learning 2 层”设备,也就是说该虚拟交换器基于MAC(MAC:Media Access Control)地址转发包,即Hyper-V交换器并不能解释、也不能处理更高级的基于IP路由和访问控制属性,但这些在现在的3层交换结构中很常见。实际上使用现有技术在Hyper-V虚拟交换器内,访问控制列表(ACL:Access Control List)并不适用。
由于缺少对第三方监控器的支持和虚拟网络流量的强制实施,Hyper-V虚拟交换器也受到限制。一旦数据从物理网络进入Hyper-V内虚拟网络,就会从任何的外部入侵检测或者阻止系统中消失。
因此Hyper-V网络工作环境需要一些物理服务器上使用的高安全级别解决方案。首先需要设计约束Hyper-V主机流量的网络ACL,这些网络ACL的权限限制在物理网络基础架构之内。同一台主机上的虚拟机之间通信不会受到基于网络的ACL的约束。如果基于安全策略的考虑,需要安装操作系统级别的防火墙和入侵检测系统的话,则需要在每一台虚拟机上单独安装。
Microsoft的Hyper-V安全指南也强烈推荐使用特定的网络适配器连接主机的主分区(其管理操作系统)和网络,这样可以保护主分区的操作系统不至于受到从虚拟机所使用的接口的网络流量干扰。从安全角度来看,虚拟机网络流量的可信性要比主分区网络流量可信性低,因为只有保护主分区的安全才可以保证虚拟机正常工作。在高安全需求的工作环境中对主分区流量管理的约束,不仅针对网络接口,并且针对保护子网。
Microsoft在Windows Server 2008 R2增加一些对虚拟交换器管理的设置增强安全性。在R2中,Hyper-V虚拟网络管理器有一个叫“允许管理操作系统共享网络适配器”的检查框,使用这个检查框可以进一步确保管理操作系统的网络流量和虚拟机的网络流量相隔离。如果不选这个检查框,创建的虚拟网络就不会暴露给主分区。使用Hyper-V的工作环境如果要求高可用性,则需要在集群节点之间有一些某种形式的共享存储。多数情况下,涉及到为Hyper-V虚拟机的存储部署一个基于iSCSI的存储区域网络。最好的方法就是隔离iSCSI网络流量和生产网络流量。同时,在过度使用时通常把iSCSI流量放在子网内防止拒绝访问攻击,这样也可以进一步隔离不同类型的网络流量。
很多用户希望通过网络接口分组提高系统可用性度量。对于这个问题,Microsoft并没有对高可用性提供接口分组的支持。在Hyper-V的生产工作环境中,通常会认为这个是传输媒介中的主要限制。然而需要知道的是Microsoft从来不支持接口分组,甚至在物理环境中也不支持。尽管如此,诸如Dell和HP这样的厂商过去几年一直开发公司自己的分组驱动设备,其中有很多在Hyper-V工作环境中都适用。所以就需要评估生产这样驱动的OEM厂商提供支持的水平。
总体来讲,如果在Hyper-V主机上有很多网络接口的话,在Hyper-V上部署虚拟化相当容易。如果单位使用的是两个四接口网卡和内置在服务器主板上双网络接口,在Hyper-V主机上部署10个以上网络接口是非常常见的。拥有这么多个网络接口可以保证有足够多的可用接口供生产网络、存储网络和管理网络使用,同时也可以为任何可能需要的网络配置预留。网络上可能会有潜在的危险,但是如果在一台Hyper-V主机上部署多台虚拟机也同样会有危险。特别是在虚拟机因宕机备份和负载平衡需要动态迁移的集群工作环境的一些问题,同一台主机上承载多台虚拟机可能会是安全问题、一致性问题或者是IT工作环境问题。在本系列的下一篇文章中,我将会详细阐明。