在云计算平台的安全防护技术中,最重要的就是隔离保护技术,VMware在去年下半年发布了云基础架构解决方案套件,其中包括用于解决云安全问题的vShield组件,它可以和vCloud Director组件一起协同工作,在多租户的云环境下提供便捷有效的隔离保护功能。下面我将以vShield如何vCloud中的虚拟应用(vApp)为例,来向大家介绍vShield在云环境中的具体用法。
在一个多租户的云环境中,主要存在三种不同类型的网络,分别是公共网络,组织网络和虚拟应用网络,为了保证系统、应用和数据的安全,用户可能希望在两个网络之间实现安全隔离,同时,基于云平台自服务的特性,用户会要求自主完成安全防护的设计,部署与管理。借助于vCD和vShield Edge解决方案,基于vCloud来构建云平台的服务提供者可以满足用户的上述要求,下边我们来看一下如何实现。
实验拓扑图如下:
•vApp1和vApp2直接连接到组织网络1(192.168.1.0/24)
•vApp3采用Fenced方式(vShield Edge隔离)连接到组织网络1
•vApp4先连接到routed_apps网络(192.168.2.0/24),再通过vShield Edge连接到组织网络1
vApp1与vApp2是第一种情况,直接连接到组织网络,无vShield Edge
vApp3采用Fenced方式连接到组织网络,vShield Edge两边是同一子网,vShield Edge提供NAT和ARP-Proxy功能。
vApp4直连到routed_apps网络,再通过vShield Edge路由到组织网络,vShield Edge提供路由,NAT和DHCP功能。
vApp采用直连方式接入组织网络的实现
创建vApp时选择组织网络作为vApp内部虚拟机所连接网络。
在网络配置页面上不要选择“Fence vApp”复选框。
vApp采用Fenced方式接入组织网络的实现
创建vApp时选择组织网络作为vApp内部虚拟机所连接网络。
在网络配置页面上选择“Fence vApp”复选框。
vApp采用Routed方式接入组织网络的实现
创建vApp时选择“Add Network”,指定新建网络的地址和名称等参数。
在网络配置页面上选择“Show networking details”复选框,连接新建网络到组织网络。
直连模式下的通讯验证
vApp1与vApp2直接连接到组织网络,相互之间可以直接通讯,无网络隔离。
根据ARP表可知,vApp1和vApp2中的主机通过ARP协议直接获得对方MAC地址。
Fenced模式下的通讯验证
vApp3通过vShield Edge连接到组织网络,vShield Edge提供Firewall和NAT功能。
根据vApp01,vApp02和vApp03中三台虚拟机上的ARP输出可知,vShield Edge提供了Proxy-ARP功能,以保证内外网之间的主机可以正常通讯。
vShield Edge也提供了NAT功能,vApp03中主机的内部地址为192.168.1.100,外部地址为192.168.1.104(vShield Edge的内外口地址分别为192.168.1.101和192.168.1.103)
Routed模式下的通讯验证
vApp4通过vShield Edge连接到组织网络,vShield Edge提供Firewall和NAT功能。
vApp4中的主机IP地址为192.168.2.100,被NAT映射为192.168.1.107。
vShield Edge的内外口地址分别为192.168.2.1(Gateway)和192.168.1.106。
vShield Edge也提供了Firewall和DHCP功能。
Fenced与Routed两种连接方式比较接近,该如何进行选择?
下述情况使用Fenced模式
组织网络地址资源够用,不想创建新的网段。
下述情况使用Routed模式
非vApp外连网络(Fenced模式只支持vApp网络)。
上级网络地址资源不足,需要创建新的网段以扩充可用地址。
想保持vApp内部已配置的主机地址不变。
需要使用DHCP功能为内部主机分配地址。
[完]