пятница, 29 мая 2009 г.

Что такое vShield Zones

По многочисленным просьбам рассказываю что такое vShield Zones.

vShield Zones - это система файрволлов на каждом ESX + управляющая консоль. Файрволлы (vShield), как и консоль (vShield Manager), являются просто виртуальными машинами.

Принцип работы очень прост, у каждой vShield три сетевых интерфейса: mgmt, unprot и prot, которые подключены в соотв. портгруппы. Для коммуникации с vShield Manager используется mgmt интерфейс, обладающий собственным IP, unprot ловит все пакеты, проходящие через vSwitch, а после обработки пакеты отдаются во второй vSwitch (не имеющий физических аплинков) через prot интерфейс. В данном случае VMware не стала изобретать велосипед и просто купила компанию, специализирующуюся на таких решениях - BlueLane.


Установка проходит при минимальном уровне участия администратора, все сетевые изменения проводятся автоматически. Сами же машины vShield и vShield Manager все ближе к черным ящикам. Хоть там и стоит какой-то дистрибутив Linux, но стандартной консоли просто нет, доступно лишь небольшое количество команд для конфигурирования и траблшутинга, причем при развертывании vShield машины из шаблона vShield Manager конфигурирует ее самостоятельно.

Скриншот сетевых настроек ESX после установки vShield, на котором все прекрасно видно:



В данном случае приведена картинка для традиционной схемы vSwitch'ей, но vShield работает и с vNetwork Distributed Switch.
Почему сделана работа с двумя vSwitch'ами? Машины принудительно подключаются (или переключаются при установке) во второй vSwitch, не имеющий физических аплинков и соотв. изначально весь трафик пойдет только и исключительно через vShield.
Огромный плюс vShield Zones в том, что не требуется никакого изменения сетевых настроек или адресации в гостевых системах, vShield полностью прозрачный файрволл.

В итоге мы имеем центральную консоль управления, встраивающуюся в vCenter, хотя можно управлять ей и просто через браузер. В этой консоли, например, можно посмотреть подробную статистику сетевой активности одной ВМ, хоста, кластера и вплоть до всего датацентра (если на всех без исключения хостах установлены vShield). В качестве примера приведена статистика для контроллера домена тестовой зоны:



Ну или в цифрах:



Буквально двумя кликами дальше можно создать правило для любого протокола:



Общее впечатление достаточно приятное. Интеграция пока немножко страдает, но BlueLane была приобретена всего в октябре 2008, в будущем шероховатости сгладятся. Настройки файрволла достаточно разветвленные и позволяют серьезно повысить уровень безопасности виртуальных машин в сети. Насколько я понимаю, vShield Zones будет так же прекрасно работать и с ESX3 хостами, поскольку ничего специфического для vSphere в ней просто нет.

vShield Zones включена в комплект начиная с Advanced редакции, т.е. эту функциональность получают также и все Enterprise пользователи VI3. Если, конечно, у них была активная поддержка :)

Комментариев нет:

Отправить комментарий