設計方案2 (基於vApp的資源分配)
vApp資源池的數量
在這一設計中,根級別的資源池擁有來自6臺主機的資源。客戶想要通過vApp容器來管理資源分配。不同於前述方案,我們不會根據不同組織的需求來分配資源,而是根據每個應用層來指定保留值,共享值和上限數值等。vApp在多層應用部署的情況下可以提供更好的靈活性與服務質量保證。
如圖7所示,我們創建了三個vApp資源池,分別是Web,App和DB層。這三個vApp資源池用於爲三個不同的應用層提供資源。
映射內部區域安全規則到vApp資源池
如果VI管理員基於vApp資源池來分配資源到內部區域,那麼爲內部區域定義的安全規則就應該映射到對應的vApp資源池:
1) 數據中心 → Web : 只允許 TCP port 80流量通過
3) Web → App : 只允許TCP port 2222流量通過
4) APP → DB : 只允許TCP port 3333流量通過
vShield App安全策略
我們在方案選項1中提到過,要確保集羣級別規則與數據中心高優先級規則不存在衝突 。
數據中心級別策略 (高優先級規則)
- 對Web層只允許 TCP port 80流量通過
- 允許來自每個資源池的常用基礎架構流量(如DNS/DHCP)通過
集羣級別策略
- 允許用戶從數據中心外部訪問特定的應用程序(TCP Port 80流量)
- 允許來自每個資源池的常用基礎架構流量(如DNS/DHCP)通過
資源池級別策略
- 允許TCP port 2222流量從Web到App通過
- 允許TCP port 3333流量從App到DB通過
部署
一旦客戶確定了內部區域,安全策略和資源池劃分,就應該開始部署了,如圖6所示,集羣中有6臺主機,三個資源池用於運行不同的應用程序。
1) 在每臺物理主機上部署一個vShield App
3) 在數據中心,集羣和vApp級別定義安全策略,並在羣集級別的App Firewall標籤上應用策略。
高可用
結論
基於vShield App的安全解決方案可以爲用戶構建一個非常容易部署和管理的安全虛擬基礎架構。vShield App是虛擬網卡級別的防火牆,它可以簡化資源分組,對於IT管理員來說,非常容易理解和掌握。