VMware安全产品vShield共包括vShield Zones、vShield App、vShield Edge、vShield Endpoint以及VShield Manager共五个套件,为虚拟数据中心安全架构提供了端到端的私有云安全保护。
vShield Zones本质上是一个设计来保护虚拟机和分析虚拟网络流量的虚拟防火墙,它作为一个可加载的内核模块和虚拟设备部署在主机上。
使用升级许可密钥后,可以将vShield Zones升级为vShield App,vShield App在vShield Zones的基础上增加了额外的虚拟网络安全。
vShield Edge对虚拟数据中心的边缘提供安全服务,通过安全和网关服务实现对虚拟机的隔离,提供控制区、外网VPN和参数保护等功能实现对多租户云应用环境的支持。
vShield Endpoint去除了每个虚拟机中的反病毒代理,将反病毒的功能交给由反病毒厂商提供的安全VM处理。但目前仅支持Windows操作系统。
vShield Manager用于管理vCenter Server整个基础架构及vShield组件;
vShield虚拟数据中心安全架构
在基于VMware vSphere构建的虚拟数据中心部署vShield安全产品共包括以下四个步骤:
下载vShield评估版本
在VMware官方网站注册并登录后,可下载vShield 60天的评估版本。如下图所示,文件格式为OVA,包括了vShield Manager、vShield Edge、vShield App 以及 vShield Endpoint,其中vShield Manager 用于管理vShield App、Endpoint以及Edge。
登录vSphere Client安装vShield Manager
登录vSphere Client后,选择文件—>部署OVF模板,定位到下载到的文件VMware-vShield-Manager-4.1.0-310451.ova—>接受许可协议—>保持vShield Manager默认名称,接着选择vShield Manager虚拟机所在的物理主机、数据存储、管理网络。vShield Manager支持高可用性以及分布式资源调度,为确保vShield Manager的高可用性,需要将其部署在共享数据存储上;为保证安全,建议将vShield Manager放在单独的管理网络中,最后选择完成开始安装部署。
配置vShield Manager
部署完成后,将创建一个名为vShield Manager的虚拟机,启动该虚拟机。整个配置过程如下图所示:输入用户名、密码(admin/default)登录。输入enable进入使能模式,默认密码也是default。输入setup命令,然后输入必需的网络信息,然后退出并重新登录使更改生效。通过ping默认网关测试网络连通性。
打开IE浏览器,输入vShield Manager虚拟机的IP地址,如下图所示,在登录界面输入用户名、密码(admin/default),进入vShield Manager管理界面。
在配置选项卡上输入vCenter服务器信息,进行vShield Manager和vCenter服务器的信息同步。这个过程可能会持续几分钟。同步完成后可以在页面左侧看到数据中心的拓扑情况。
将vShield Manager注册为vSphere Plug-in,这样直接在vSphere Client中集成配置vShield Manager。点击“Register”按钮,完成插件注册。配置过程如下图所示。
重新启动vSphere Client,选择主页,单击“解决方案和应用程序”下面的vShield图标,可以集成登录到vShield Manager Web管理界面。数据中心的每个主机也都增加了vShield标签,接下来开始安装并配置vShield的其他组件。
【编辑推荐】
- 理由何在 微软Hyper-V 凭什么击败VMware
- VMware管理员如何管理XenServer?
- 冷静冷静 切勿为VMware和微软“一山不容二虎”买单
- 数据中心墓碑吞噬者——VMware vSphere