vShield App设计指南[中]

基于vShield App的设计方法

为了克服虚拟基础架构给IT管理员所带来的挑战，下面将向大家介绍一种全新的，简单且自适应的vShield App解决方案。这种新方法与传统的方法大不相同，需要安全管理员与虚拟架构管理员紧密协作。安全管理员在创建规则时，不仅可以基于IP地址等网络参数，还可以基于CPU/内存资源组或是虚拟基础架构管理员创建的安全组。
在一个典型的数据中心，安全管理员需要划分内部区域并分配相应的安全策略，虚拟基础架构管理员则需要根据组织的需要来划分资源池。在VMware的虚拟化环境中，资源池（RP）允许你对一台独立主机或是一个DRS集群中的CPU和内存等资源加以控制。划分资源有两种主要方法：
1) 资源池（RP）法：这种方法使客户能够控制一台主机或一组集群中的资源，像虚拟机一样，资源池对于CPU和内存也可以配置保留值，限额以及共享值。基于客户的需要，资源池可以配置成多层次结构，根资源池可以为不同组织（FIN，HR，Sales）的子资源池服务。
2) vApp模式：vApp是一个容器，像资源池一样，它可以包含一个或多个虚拟机。它也具有一些虚拟机的功能，你可以对一个vApp加电或关机，也可以克隆一个vApp。这些功能特性可以帮助用户部署和管理多层应用程序。管理每一层的操作策略和服务质量。
vShield App可以在VMware环境中基于逻辑组来创建规则，这些组基于数据中心，集群，资源池或vApp等。还可以创建安全组加以补充。
下面通过一个例子来介绍安全规则：
禁止RP1到RP2的流量：这一规则用于禁止资源池RP1中的数据向资源池RP2传递。在定义这条规则时不需要提供IP地址，这样就简化了安全规则的管理。而且，这些规则可以被组中的虚拟机继承。只要管理员将虚拟机放入了正确的组，安全策略就会发生作用，即使由于主机故障或资源不足导致虚拟机迁移到了其它的主机上，安全策略仍然有效。
下面的部分会介绍两种基于vShield App的设计方法，一种方法使用资源池来分隔企业中的资源，第二种方法使用vApp来隔离资源。 同时也会讨论在两种不同的情况下应该如何设计安全规则。
下面这些设计组件对两种方法都适用：

常用组件

下面是设计中的常用组件。不包括构建虚拟基础架构所需的外部网络和存储基础架构。这里假定客户环境中采用的是iSCSI或FC SAN，网络中部署有交换机和路由器。

主机

由多台服务器提供计算力，内存和网络资源。示例配置，HP ProLiant DL380机架式服务，配置两颗Intel至强CPU（每颗4核），96G内存，2块10G网卡，安装ESX/ESXi。硬件的配置决定其上可以运行的虚拟机数量及可以负担的工作负责。

vShield App

vShield App是一个内部的，虚拟网卡级别的防火墙，利用它你可以基于网络拓扑来创建访问控制策略。vShield App监视所有进出ESX主机的流量，包括属于同一端口组的虚拟机之间的流量。vShield App包括流量分析功能，也支持基于容器的策略。每台主机需要部署一个vShield App虚拟设备。

集群

一个集群是一组提供资源的ESX/ESXi主机和与之相关的，分享这些资源的虚拟机。当你将一台主机添加到DRS集群时，主机的资源就成为集群资源的一部分。本设计中使用的是一个有六台主机的集群。

内部区域/租户的数量

如前所述，安全管理员会根据风险的大小以及资源的重要性来创建内部区域和安全策略，内部安全区域可以基于不同的部门，如HR，Finance和Marketing，也可以基于应用的层级，如Web，App和DB等。区域的数量根据用户需要而定。
在下面的设计方案中，可以为三个部门（HR，Finance和Sales）创建三个内部安全区域，也可以为不同的应用层（Web，App和DB）创建内部安全区域，我们将这三个安全区域命名为internal zone 1，internal zone 2和internal zone 3。

安全规则

下面是安全管理员为保护各区域而制定的安全规则：
· Internet → internal zone 1 : 只允许 TCP port 80流量通过
· Internal zone1 → internal zone 2 : 只允许TCP port 2222流量通过
· Internal zone1 → internal zone 3 : 所有流量禁止通过
· Internal zone2 → internal zone 3 : 只允许TCP port 3333流量通过