Данная статья посвящена еще одной технологии VMWare — Shield Zones. Что такое vShieldZones? По сути — это набор из виртуальных машин (vShield), на каждом из серверов ESXi + консоль управления этими машинами (vShield Manager), которые реализуют функции межсетевого экрана (файрволлов) в среде vCenter. Эти виртуальные машины можно также представить в виде промежуточного слоя между хостами ESX/ ESXi и гостевыми операционными системами. Данные сетевые экраны предназначеня для мониторинга и контроля входящего и исходящего трафика, который получают виртуальные машины на хосте ESX.
Установка vSheild Manager
Я попробую описать процесс установки и базовой настройки VMWare vShield Zones.
Напомню, vShield manager — это виртуальная машина для управлениями всеми межсетевыми экранами vShield.
1. Качаем и устанавливаем vShield Manager
Тестовую версию vShield можно скачать с сайта Vmware в формате ova. Размер этого ova файла примерно 500MB, необходимо скачать его и при помощи клиента vSphere импортировать файл ova. В результате у нас появится еще одна виртуальная машина, которую также можно поместить в кластер DRS, и ее всегда можно переместить (при помощи vMotion) на любой сервер в кластере.
После того, как файл ova импортирован, необходимо включить виртуальную машину и залогиниться в систему при помощи имени “admin” и пароля “default”.
В командной строке нужно набрать enable и набрать setup
2. Настройка IP адреса и шлюза
После настройки сети, необходимо проверить доступность сервера vManager извне, для чего просто попингуйте его с любого другого сервера.
3. Подключитесь к vManager при помощи браузера.
4. Перезапустите клиента vClient.
После заполнения всей необходимой информации в окне настройки vManager, в клиенте vSphere появится новая вкладка с названием «vShield».
На этом установка менеджера vSheild может считаться оконченной, однако на текущий момент ни vZone, ни другие компоненты vShield еще не установлены ни на одном сервере ESX.
Установка vShield Zone
Переходим непосредственно к установке vShield Zone. По сути vShield Zone – это приложение vApp.
Когда вы из интерфейса управления vManager разворачиваете vShield Zone, vManager попросит указать на какой хост необходимо произвести установку, а также новый IP адрес для виртуальной машины с vShield Zone.
В результате на каждом сервере, куда был установлен компонент vShield Zone появится новая виртуальная машина Linux, которую нельзя будет перенести (vMotion) на другой хост, т.к. она напрямую (как и vSwitch) обращается к различным функциям гипервизора.
Примечание: если вы используете кластер, необходимо уяснить, что vShield Zone защищает только виртуальные машины, запущенные на хосте с установленной виртуалкой vZone.
Поэтому рекомендуется устанавливать vZone на все сервера кластера.
1. Переходим на вкладку vShield и выбираем хост, на который будет производиться установка.
2. Задаем IP адрес виртуальной машины vZone и жмем Install
3. Система произведет установку новой виртуальной машины на указанный сервер ESX/ESXi.
Помимо разворачивания новой виртуальной машины, установщик осуществляет еще ряд функции:
Управление vZone
Управление vZone очень напоминает управление Microsoft ISA.
Каждая виртуальная машина vShield Zones применяет к трафику правила межсетевого экрана последовательно сверху вниз. Т.е. первым срабатывает правило, которое находится выше в списке правил.
Стоит отметить, что существует несколько различных уровней для сетевого экрана vShield (правила указаны в порядке иерархии – приоритета):
1. Data Center High Precedence Rules (уровень датацентра – обычно общие правила для всей системы)
2. Cluster Level Rules (уровень кластера)
3. Data Center Low Precedence Rules (уровень датацентра , но с более низким приоритетом)
4. Secure Port Group Rules (правила групп портов)
5. Default Rules (правила по-умолчанию)
Резюмируя, еще раз напомню, что есть несколько моментов относительно vShield Zones, которые нужно запомнить:
1. Необходимо убедиться что vManager и виртуальные машины vZone доступны (пингуются) друг с друга.
2. Если используете кластер, убедитесь что vZone установлен на всех хостах.
3. Если вы удалите vZone, потребуется обязательная перезагрузка сервера ESX.!!
4. При установке vZone перезагрузка сервера не требуетсяt.
5. Виртуальную машины vZone нельзя переместить (vMotion) на другой хост.
6. Оценить нагрузку, которую будет генерировать vShield заранее нельзя.
