vShield App設計指南[下]

設計方案1（基於資源池的資源分配）

資源池的數量

在這一設計中，集羣中有6臺主機，客戶在根資源池中創建子資源池。這種層次結構的資源池使得VI管理員可以通過指定每個資源池的保留值，共享值和資源上限等爲不同的組織分配資源。

如圖6所示，我們設計了三個資源池RP1，RP2和RP3。這些子資源池用於向三個不同的組織（HR，Finance和Sales）提供資源。

將內部區域安全規則映射到資源池

VI管理員基於資源池將資源分配到內部區域，爲內部區域定義的安全規則可以被映射到相應的資源池：

1)      Data center → RP 1 : 只允許 TCP port 80流量通過

2)      RP1 → RP2 : 只允許TCP port 2222流量通過

3)      RP1 → RP3 : 所有流量禁止通過

4)      RP2 →  RP3 : 只允許TCP port 3333流量通過

vShield App中的安全策略

vShield App是一個集中管理的，層次結構的防火牆。客戶可以在數據中心，集羣，資源池以及vApp級別創建規則。這些不同的級別也被稱爲容器，規則應用的優先順序是：

1)      Data Center High Precedence Rules數據中心高優先級規則

2)      Cluster Level Rules羣集級別規則

3)      Data Center Low Precedence Rules數據中心低優先級規則

4)      User defined Security Group Rules用戶定義安全組規則

5)      Default Rules缺省規則

vShield App監視進出ESX主機的流量以及同一端口組中各虛擬機之間的流量以強制規則實現，強制策略時基於容器級別的優先級或自定義優先級別。容器級優先指數據中心級別的優先級高於羣集級。當在數據中心級別配置規則時，此處的所有羣集和 vShield代理都將繼承此規則。因爲數據中心高級別規則優先於羣集級別規則，請確保集羣級別規則與數據中心高級別規則不存在衝突。

客戶也可以在每個容器級別配置允許或禁止全部流量的缺省規則，如：

缺省允許所有流量：在這種情況下，客戶保留缺省的允許所有流量通過的規則，基於流量監視數據來創建禁止規則或手工配置應用防火牆。如果一個會話沒有匹配任何禁止規則，vShield App將允許流量通過。

缺省禁止所有流量：這種情況與前一種剛好相反，需要明確指出允許通過的系統和應用。如果一個會話沒有匹配任何一條允許規則，vShield App將丟棄會話流量。

前面定義的安全規則可以通過下述配置實現：

數據中心級別策略 (高優先級規則)

-          只允許 TCP port 80流量通過

-          允許來自每個資源池的常用基礎架構流量（如DNS/DHCP）通過

-          禁止其它流量

集羣級別策略

-          允許用戶從數據中心外部訪問特定的應用程序（TCP Port 80流量）

-          允許來自每個資源池的常用基礎架構流量（如DNS/DHCP）通過

資源池級別策略

-          允許TCP port 2222流量從RP1到RP2通過

-          允許TCP port 3333流量從RP2到RP3通過

-          RP2與RP3之間所有其它流量禁止通過

-          RP1與RP3之間所有流量禁止通過

部署

一旦客戶確定了內部區域，安全策略和資源池劃分，就應該開始部署了，如圖5所示，集羣中有6臺主機，三個資源池用於運行不同的應用程序。

1)      在每臺物理主機上部署一個vShield App

2)      創建資源池

3)      在數據中心，集羣和資源池級別定義安全策略，並在羣集級別的App Firewall標籤上應用策略。

 

高可用

VMware vSphere平臺具有HA和DRS等特性，可以提供彈性和可用性保證。當出現不同類型的故障時，vShield App設備都可以對虛擬基礎架構提供持續保護。

·  物理主機失效：如果主機停止工作了，vShield App設備也就無效了，需要它來保護的虛擬機也停止了。如果啓用了HA，則虛擬機會在集羣中的其它主機上面自動重啓，該主機會對虛擬機繼續提供保護。

·  虛擬機失效：心跳監視機制幫助檢測虛擬機中的操作系統失效，當檢測到這種事件時，虛擬機將被重新啓動。安全規則無需改變，vShield App設備對虛擬機持續提供保護。

·  vShield App虛擬機失效：如果vShield App設備失效，所有進出該主機的流量都將受到影響，在設備完成重啓之前，該主機上的虛擬機將無法進行通訊。

·  vShield Manager失效：如果vShield Manager宕機，vShield App設備將繼續提供安全保護，但是新虛擬機將不能被加入到安全組。同時，流量監視數據也可能丟失。

vShield App 設備的一些限制:

1)      vShield App虛擬機與物理主機綁定：vShield App防火牆與安全規則和物理主機上的虛擬機狀態密切相關， vShield App虛擬機不能被手工遷移或由DRS自動遷移到其它物理主機。

2)      配置啓動順序：要確保某臺物理主機上的所有虛擬機都被正確的保護，要確保先於所有虛擬機開啓vShield App設備，當物理主機重新啓動時，vShield基礎架構可以保證這一點。

3)      對vShield App設備限制權限：VI管理員不應該被允許對vShield App虛擬機執行特權操作（如刪除或移動等）。

 

圖6  基於資源池的設計

設計方案2 (基於vApp的資源分配)

vApp資源池的數量

在這一設計中，根級別的資源池擁有來自6臺主機的資源。客戶想要通過vApp容器來管理資源分配。不同於前述方案，我們不會根據不同組織的需求來分配資源，而是根據每個應用層來指定保留值，共享值和上限數值等。vApp在多層應用部署的情況下可以提供更好的靈活性與服務質量保證。

如圖7所示，我們創建了三個vApp資源池，分別是Web，App和DB層。這三個vApp資源池用於爲三個不同的應用層提供資源。

映射內部區域安全規則到vApp資源池

如果VI管理員基於vApp資源池來分配資源到內部區域，那麼爲內部區域定義的安全規則就應該映射到對應的vApp資源池：

1)      數據中心 → Web : 只允許 TCP port 80流量通過

2)      Web → DB : 所有流量禁止通過

3)      Web → App : 只允許TCP port 2222流量通過

4)      APP →  DB : 只允許TCP port 3333流量通過

vShield App安全策略

我們在方案選項1中提到過，要確保集羣級別規則與數據中心高優先級規則不存在衝突 。

數據中心級別策略 (高優先級規則)

-          對Web層只允許 TCP port 80流量通過

-          允許來自每個資源池的常用基礎架構流量（如DNS/DHCP）通過

-          禁止其它流量

集羣級別策略

-          允許用戶從數據中心外部訪問特定的應用程序（TCP Port 80流量）

-          允許來自每個資源池的常用基礎架構流量（如DNS/DHCP）通過

資源池級別策略

-          允許TCP port 2222流量從Web到App通過

-          允許TCP port 3333流量從App到DB通過

-          App與DB之間所有其它流量禁止通過

-          Web與DB之間所有流量禁止通過

 

部署

一旦客戶確定了內部區域，安全策略和資源池劃分，就應該開始部署了，如圖6所示，集羣中有6臺主機，三個資源池用於運行不同的應用程序。

1)      在每臺物理主機上部署一個vShield App

2)      創建資源池

3)      在數據中心，集羣和vApp級別定義安全策略，並在羣集級別的App Firewall標籤上應用策略。

 

高可用

與上一方案相同，不再累述。

 

圖7：vApp設計方案

 

 

結論

基於vShield App的安全解決方案可以爲用戶構建一個非常容易部署和管理的安全虛擬基礎架構。vShield App是虛擬網卡級別的防火牆，它可以簡化資源分組，對於IT管理員來說，非常容易理解和掌握。