安装完vShield Manager后,下一步就是安装基本的虚拟防火墙VMware vShield Zones,并升级至vShield App。 安装VMware vShield Zones 安装VMware vShield Zones的第一步是在vCenter Server中选择主机,并单击“vShield”标签,可以看到安装vShield Zones, 、vShield Edge 和 vShield Endpoint的选项(需要注意的是没有vShield Edge 和 vShield Endpoint的许可,无法安装它们)。 图1 单击“安装”按钮,输入必需的信息。 图……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
安装完vShield Manager后,下一步就是安装基本的虚拟防火墙VMware vShield Zones,并升级至vShield App。
安装VMware vShield Zones
安装VMware vShield Zones的第一步是在vCenter Server中选择主机,并单击“vShield”标签,可以看到安装vShield Zones, 、vShield Edge 和 vShield Endpoint的选项(需要注意的是没有vShield Edge 和 vShield Endpoint的许可,无法安装它们)。
图1
单击“安装”按钮,输入必需的信息。
图2
下一步,为vShield Zones代理虚拟机选择数据存储。(推荐使用本地数据存储,这样代理虚拟机不会随vMotion迁移。)然后选择vShield Manager所在的管理端口组。你也可以使用其它的端口组,但是这个端口组必须能够与Shield Manager进行通信。最后,输入新虚拟机的IP地址信息,然后单击“安装”按钮。
作为安装的一部分,主机上的每个虚拟机都被重新配置,但虚拟机的硬件设置没有任何改变。相反,一些配置参数直接添加在主机上每个虚拟机的VMX文件中,如下所示:
- ethernet0.filter0.param1 = "uuid=503adeb0-4c8c-cb31-b8a7-2fba5791434b.000"
- ethernet0.filter0.name = "vshield-dvfilter-module"
这些参数是过滤器的一部分。过滤器插入到每个虚拟机的虚拟网卡内部,允许vShield监控虚拟网卡的网络流量。第一个参数标识 vCenter Server的全局唯一标识符。第二个参数是主机上可加载内核模块(LKM)的名字。
上述配置是使用VMsafe API监控网络流量的新方法。原始版本的vShield以桥接的方式,在虚拟交换机之间内联运行,以保证到保护区域的所有流量都经过了vShield。新的流量监控方法在虚拟网卡而不是在虚拟交换机上监控流量,避免了之前版本需要对虚拟交换机重新配置,提供了更好的保护。在桥接模式下,虚拟机不能对同一保护区域的其他虚拟机进行保护。现在vShield Zones在虚拟网卡级别运行,每个虚拟机被完全的保护。
把过滤器插入到每个虚拟网卡内部,区域虚拟防火墙保护了虚拟机。但是你不能排除某些虚拟机:如果手动删除添加到虚拟机vmx文件中对应的行(当虚拟机关机后),vShield会重新插入它们。
因此,如果区域虚拟防火墙的虚拟机发生故障,主机上的网络流量将下降,因为网络不可路由。如果你把虚拟机从被保护区域的主机迁移至非保护区域的主机,vCenter Server会自动删除过滤器。因此新主机上运行的虚拟机网络连接不会丢失。
一旦在第一台主机上安装了vShield Zones,就可以在当前集群的每个主机上重复安装过程。安装过程重新配置每个主机上的虚拟机,在每个主机上发布区域虚拟防火墙虚拟机。
一个被称为“vmservice-vswitch” 的新虚拟交换机也被创建。这个虚拟交换机没有分配物理网卡,有一个VMkernel接口,分配的IP地址为169网段。
图3
“vmservice-vswitch”不能修改,仅仅提供给区域防火墙虚拟机使用。区域防火墙虚拟机有两块虚拟网卡连接到“vmservice-vswitch”。vShield Zones 虚拟机通过这两块虚拟网卡与VMkernel内的LKM通信。一块网卡用于控制,另一块网卡用于数据通信。
配置VShield Zones
现在开始配置vShield Zones。主机的“vShield”标签显示主机上已经安装的Zones及其版本以及服务(代理)虚拟机信息。同时你也可以看到代理虚拟机CPU、内存资源使用和网络统计。
图4
安装完成后,vShield Zones处于活动状态,默认的规则被设置为ANY/ANY,所有的流量都允许通过。你可以通过选择数据中心、集群或者端口组对象,点击“vShield Zones”标签来设置规则。规则从数据对象开始,到端口组结束,具有层次结构。创建规则前,首先阅读vShield管理指南,其中包括了如何配置规则。
升级到vShield App
vShield App是vShield Zones的加强版,提供了额外的功能。你不必安装vShield App,相反,你安装vShield Zones,然后应用许可证密钥开启App功能。
为了升级到vShield App,获得或购买App评估密钥。在标准版的vCenter Server许可页面通过点击“主页”然后点击“许可”标签应用密钥。
图5
在资产视图下能看到没有授权的vShield App, vShield Edge以及 vShield Endpoint实例。双击vShield App,输入许可证密钥,选择分配新的许可证密钥。
可以输入多个许可证密钥,但是只能分配一个。如果你有多个App密钥,你可以在VMware的官方网站整合它们。因为App按照虚拟机的数量授权,整合后将显示许可证支持多少个虚拟机。
在“vShield”标签,新功能将解除锁定。而且“区域虚拟防火墙”链接更新为“应用防火墙”。vShield App一个非常好的特性是能够创建安全组,允许你指定虚拟网卡,在整个组中应用规则。
图6
因为在单个虚拟网卡级别加强了安全,安全组使规则创建更加容易。与标准的基于IP地址的规则相比,安全组同时提供了更大的灵活性以及更好的安全。因为安全组规则覆盖了虚拟机上的所有流量--不用管IP地址。
作者
相关推荐
-
现在大家都在用什么虚拟防火墙软件?
-
什么是虚拟防火墙,虚拟防火墙产生的原因是什么?
-
请问谁有用vShield App,vShield Edge以及 vShield Endpoint?
请问有谁有vShield App,vShield Edge以及 vShield Endpoint实例的临时许可 […]
-
能替代VMware vShield Zones的开源产品
IT达人们对于vShield Zones的性能不满意时,可以找到一大把开源产品替代VMware的虚拟防火墙或入侵检测系统。