在雲計算平臺的安全防護技術中,最重要的就是隔離保護技術,VMware在去年下半年發佈了雲基礎架構解決方案套件,其中包括用於解決雲安全問題的vShield組件,它可以和vCloud Director組件一起協同工作,在多租戶的雲環境下提供便捷有效的隔離保護功能。下面我將以vShield如何vCloud中的虛擬應用(vApp)爲例,來向大家介紹vShield在雲環境中的具體用法。
在一個多租戶的雲環境中,主要存在三種不同類型的網絡,分別是公共網絡,組織網絡和虛擬應用網絡,爲了保證系統、應用和數據的安全,用戶可能希望在兩個網絡之間實現安全隔離,同時,基於雲平臺自服務的特性,用戶會要求自主完成安全防護的設計,部署與管理。藉助於vCD和vShield Edge解決方案,基於vCloud來構建雲平臺的服務提供者可以滿足用戶的上述要求,下邊我們來看一下如何實現。
實驗拓撲圖如下:
•vApp1和vApp2直接連接到組織網絡1(192.168.1.0/24)
•vApp3採用Fenced方式(vShield Edge隔離)連接到組織網絡1
•vApp4先連接到routed_apps網絡(192.168.2.0/24),再通過vShield Edge連接到組織網絡1
vApp1與vApp2是第一種情況,直接連接到組織網絡,無vShield Edge
vApp3採用Fenced方式連接到組織網絡,vShield Edge兩邊是同一子網,vShield Edge提供NAT和ARP-Proxy功能。
vApp4直連到routed_apps網絡,再通過vShield Edge路由到組織網絡,vShield Edge提供路由,NAT和DHCP功能。
vApp採用直連方式接入組織網絡的實現
創建vApp時選擇組織網絡作爲vApp內部虛擬機所連接網絡。
在網絡配置頁面上不要選擇“Fence vApp”複選框。
vApp採用Fenced方式接入組織網絡的實現
創建vApp時選擇組織網絡作爲vApp內部虛擬機所連接網絡。
在網絡配置頁面上選擇“Fence vApp”複選框。
vApp採用Routed方式接入組織網絡的實現
創建vApp時選擇“Add Network”,指定新建網絡的地址和名稱等參數。
在網絡配置頁面上選擇“Show networking details”複選框,連接新建網絡到組織網絡。
直連模式下的通訊驗證
vApp1與vApp2直接連接到組織網絡,相互之間可以直接通訊,無網絡隔離。
根據ARP表可知,vApp1和vApp2中的主機通過ARP協議直接獲得對方MAC地址。
Fenced模式下的通訊驗證
vApp3通過vShield Edge連接到組織網絡,vShield Edge提供Firewall和NAT功能。
根據vApp01,vApp02和vApp03中三臺虛擬機上的ARP輸出可知,vShield Edge提供了Proxy-ARP功能,以保證內外網之間的主機可以正常通訊。
vShield Edge也提供了NAT功能,vApp03中主機的內部地址爲192.168.1.100,外部地址爲192.168.1.104(vShield Edge的內外口地址分別爲192.168.1.101和192.168.1.103)
Routed模式下的通訊驗證
vApp4通過vShield Edge連接到組織網絡,vShield Edge提供Firewall和NAT功能。
vApp4中的主機IP地址爲192.168.2.100,被NAT映射爲192.168.1.107。
vShield Edge的內外口地址分別爲192.168.2.1(Gateway)和192.168.1.106。
vShield Edge也提供了Firewall和DHCP功能。
Fenced與Routed兩種連接方式比較接近,該如何進行選擇?
下述情況使用Fenced模式
組織網絡地址資源夠用,不想創建新的網段。
下述情況使用Routed模式
非vApp外連網絡(Fenced模式只支持vApp網絡)。
上級網絡地址資源不足,需要創建新的網段以擴充可用地址。
想保持vApp內部已配置的主機地址不變。
需要使用DHCP功能爲內部主機分配地址。
[完]