VMware安全產品vShield共包括vShield Zones、vShield App、vShield Edge、vShield Endpoint以及VShield Manager共五個套件,爲虛擬數據中心安全架構提供了端到端的私有云安全保護。
vShield Zones本質上是一個設計來保護虛擬機和分析虛擬網絡流量的虛擬防火牆,它作爲一個可加載的內核模塊和虛擬設備部署在主機上。
使用升級許可密鑰後,可以將vShield Zones升級爲vShield App,vShield App在vShield Zones的基礎上增加了額外的虛擬網絡安全。
vShield Edge對虛擬數據中心的邊緣提供安全服務,通過安全和網關服務實現對虛擬機的隔離,提供控制區、外網***和參數保護等功能實現對多租戶雲應用環境的支持。
vShield Endpoint去除了每個虛擬機中的反病毒代理,將反病毒的功能交給由反病毒廠商提供的安全VM處理。但目前僅支持Windows操作系統。
vShield Manager用於管理vCenter Server整個基礎架構及vShield組件;
vShield虛擬數據中心安全架構
在基於VMware vSphere構建的虛擬數據中心部署vShield安全產品共包括以下四個步驟:
下載vShield評估版本
在VMware官方網站註冊並登錄後,可下載vShield 60天的評估版本。如下圖所示,文件格式爲OVA,包括了vShield Manager、vShield Edge、vShield App 以及 vShield Endpoint,其中vShield Manager 用於管理vShield App、Endpoint以及Edge。
登錄vSphere Client安裝vShield Manager
登錄vSphere Client後,選擇文件—>部署OVF模板,定位到下載到的文件VMware-vShield-Manager-4.1.0-310451.ova—>接受許可協議—>保持vShield Manager默認名稱,接着選擇vShield Manager虛擬機所在的物理主機、數據存儲、管理網絡。vShield Manager支持高可用性以及分佈式資源調度,爲確保vShield Manager的高可用性,需要將其部署在共享數據存儲上;爲保證安全,建議將vShield Manager放在單獨的管理網絡中,最後選擇完成開始安裝部署。
配置vShield Manager
部署完成後,將創建一個名爲vShield Manager的虛擬機,啓動該虛擬機。整個配置過程如下圖所示:輸入用戶名、密碼(admin/default)登錄。輸入enable進入使能模式,默認密碼也是default。輸入setup命令,然後輸入必需的網絡信息,然後退出並重新登錄使更改生效。通過ping默認網關測試網絡連通性。
打開IE瀏覽器,輸入vShield Manager虛擬機的IP地址,如下圖所示,在登錄界面輸入用戶名、密碼(admin/default),進入vShield Manager管理界面。
在配置選項卡上輸入vCenter服務器信息,進行vShield Manager和vCenter服務器的信息同步。這個過程可能會持續幾分鐘。同步完成後可以在頁面左側看到數據中心的拓撲情況。
將vShield Manager註冊爲vSphere Plug-in,這樣直接在vSphere Client中集成配置vShield Manager。點擊“Register”按鈕,完成插件註冊。配置過程如下圖所示。
將vShield Manager註冊爲vSphere Plug-in,這樣直接在vSphere Client中集成配置vShield Manager。點擊“Register”按鈕,完成插件註冊。配置過程如下圖所示。
重新啓動vSphere Client,選擇主頁,單擊“解決方案和應用程序”下面的vShield圖標,可以集成登錄到vShield Manager Web管理界面。數據中心的每個主機也都增加了vShield標籤,接下來開始安裝並配置vShield的其他組件。