vShield Edge测试
推荐
原创
©著作权归作者所有:来自51CTO博客作者yiranliu2046的原创作品,如需转载,请与作者联系,否则将追究法律责任
一.vCloud Director网络之vShield Edge。
最近在测试vCloud Director 1.5。在vCloud Director里面,有许多关于网络的设置,很多都是调用vShield Manager的组件去完成这些设置,所以为了更好的理解vCloud的网络,测试了一下vShield Edge。
vShield Manager是vShield App,vShield Endpoint,vShield Edge,vShield App with Data Security的统一管理控制台。
vShield Manager的中文文档的下载地址
http://www.vmware.com/cn/support/support-resources/pubs/vshield_pubs/。
百度文库上的一篇官方对vShield 产品组件的PPT介绍
http://wenku.baidu.com/view/bfc92a8a6529647d272852c6.html
二vShield Edge的一些概念。
由于之前对vShield Manager没有做过什么测试,所以在vCloud Director设置完后的网络返回去对应vCenter的关系时候,就会发现在vCenter里面的网络设置会非常复杂。很难找出对应关系。
下面是对vShield Edge的一些测试。
vShield Manager安装配置完成后,在vCenter里面,就会出现有关vShield的组件标签,vShield Edge就是在vCenter的这个去配置的。
下图是VMware 对vShield Edge组件的图示,vShield Edge会有一个内部端口组和外部端组的概念,官方文档是这么解释的:每个 vShield Edge 虚拟设备都具有外部和内部网络接口。内部接口连接至安全的端口组,并充当端口组中所有受保护虚拟机的网关。分配给内部接口的子网掩码可以是 RFC 1918 私有地址。vShield Edge 的外部接口连接至上行链路端口组,后者可以访问共享企业网络或提供访问层联网功能的服务。
三.vShield Edge的安装。
在需要保护的端口组上面,安装vShield Edge,填入相关的信息。
首先,为方便测试,新建虚拟机端口组,Edge in和Edge out,并假设Edge in为内部端口组,Edge out为外部端口组。
2在需要保护的端口组上面安装vShield Edge ,也就是Edge in端口组,填入相关信息。
这里如我假设:
内部端口组:网段为192.168.1.0/24,端口组IP为192.168.1.1。
外部网段为192.168.10.0/24,端口组IP为192.168.10.150,网关为192.168.10.1。
接着点击安装。
3.接着就会进行部署。部署后如图所示。
4.在vCenter上面,会部署一台vShield-Edge+端口组 命名的虚拟机。
5.点击回去查看Edge in端口组安装完成后vShield Egde的界面。
6.可以查看一下vShield Edge 这台虚拟机的IP地址。它会拥有两个IP,分别就是刚刚填写的端口组IP。
7.再查看一下Edge in和Edge out这两个端口组上面的虚拟机,都会看到vShield Edge这台虚拟机。
8.然后再来看看Edge out端口组。可以看到这个端口组是没有被安装vShield Edge,因为内部端口组的流量就是从这个端口组走出的。
9.我画了个草图,来帮助自己理解vShield Edge。
简而言之,vShield Edge部署完成之后,就会拥有两个IP,一个是内部端口组的IP,可以相当于内部端口组上虚拟机的网关,还有一个是外部端口组的IP,这个外部IP,可以用于DNAT的端口映射。外部端口组的IP也可以直接是公网的IP,直接连出外网,也可以通过SNAT的方法使内部的虚拟机使用一个公有IP访问到外网。也可以使用DNAT映射多个公网地址等等。
四VMware vShield Edge结合VMware View的部分功能性测试。
这里要注意的一点是,默认Edge的防火墙策略是禁止的。需要进行开启。
(1)DNAT端口映射
大概测试环境如下:
Egde in的端口组我创建了一个虚拟机,上面安装了VMware View 5.0。这台虚拟机的IP是192.168.1.10(内部端口组网段就是192.168.1.0/24)。
192.168.10.150就是外部端口组的IP
我在DNAT添加了如下一条规则:
把内部的192.168.10.1的端口443映射成了外部192.168.10.150的8443端口。
然后,我在192.168.10.0/24的网段访问
输入用户名密码登陆,登陆成功。
也可以使用View Client进行访问。不过需要把端口相对应的进行更改。(如何要访问到虚拟桌面,则要映射4172的UDP和TCP端口)
访问成功
(2)DNAT的IP映射。
同样在DNAT里面添加如下一条规则。
把内部的192.168.1.10.映射成外部的192.168.10.165
然后,我在192.168.10.0/24的网段访问访问
同样的View Client也是可以访问成功的。
这时候可以再看看vShield Edge这台虚拟机,是会多出一个DNAT IP地址的。可以看到多出了192.168.10.165的IP。
总结
在结合VMware View的时候也可以做一下更深入的测试,比如可以模拟一下View的连接服务器配置View的安全网关映射出外网等功能。
也可以测试一下vShield Edge的负载均衡功能,可以使用View的标准连接服务器和副本服务器模拟环境来进行测试。
另外vShield是支持vSphere的HA功能,而且可以根据虚拟机端口组的逻辑分组来定义防火墙策略等,而不用去考虑虚拟机所在的主机位置,十分灵活。
另外就是发图片的博文只能一张一张上传图片?
纠结。。。。。。