esxi设置禁止虚拟机迁移 esxi强制关闭虚拟机

第一节：NSX-V基础

传统的数据中心是用物理网络，提前规划好不同的业务往来，通过接不同的设备，或同一交换机上不同端口，利用vlanid来隔离，划分来区分不同的业务系统。这种模式，不但安装管理复杂，万一遇上管理人员流失，文档缺失，那就是巨大的坑。另外，随着，新技术和网络面临的挑战，设备更新换代，成本也是一大需要企业不得不面对的重要挑战。
针对物理物理的限制和笨重，出现了SDN的概念，即通过软件技术来逻辑实现整个物理物理实现的全部功能，且通过加入新的概念和管理理念，逻辑网络技术更加便捷和适合企业网络的敏捷管理要求。其中VMware作为业界最大的虚拟化厂商，其SDN产品NSX是其中最主要一支。

1.1、vsphere NSX介绍

在基于 vSphere 的软件定义数据中心中，各个虚机的网络都连接在 Hypervisor 所提供的一个虚拟交换机上，这个交换机是横跨整个 vSphere 集群的各个物理服务器的，所以称之为分布式交换机 (Distributed Switch)，这里成为vDS，再说OpenStack里同类似的称为Dvs（分布式虚拟交换机）。所有虚机的网络通讯都是通过这个虚拟交换机来实现的，分布式交换机负责把数据包通过底层的物理网络转发到应该去的目的地。

NSX 为虚机提供了虚拟化的网络，把虚机和物理网络相隔离，做到了网络服务与具体的物理网络设备无关，使得用户在网络设备的选择和采购上有着更大的灵活性。NSX 在虚拟网络上可以提供几乎所有的网络服务，如：路由器、负载均衡、防火墙等。除了这些常规的功能，NSX 还能够提供一些传统物理网络无法实现或实现代价很高的功能：东西向防火墙： 通常我们把数据中心内部的网络流量称之为东西向流量，数据中心内部和外部的流量称之为南北向流量。数据中心一般只在对外的网络边界上设置防火墙，因为原则上认为入侵风险来自于外部，数据中心内部是相对安全的。如果使用硬件防火墙的话，就需要在所有的业务系统之间设置防火墙，且不说这是一笔很大的硬件投资，就是防火墙规则的设置和维护也是一个巨大的工作量，所以没有数据中心会这么做。但是 NSX 可以很容易地通过软件实现这一功能，把来自于数据中心内部的入侵风险降到最低，即使黑客能够攻陷某一个应用，他也无法访问到数据中心内部其他的系统。

网络微分段： 传统的物理网络是用物理网段或 VLAN 来隔离不同网络的，而且只能隔离到物理服务器(同一服务器上的虚机之间还是没有隔离的)，当需要对网段进行调整时，需要调整物理网络或 VLAN，这可不是一件轻松的工作。微分段 (Micro-segmentation) 是通过分布式防火墙实现的功能，每个虚机都有一台防火墙，自然可以很轻松地隔离微分段之外的虚机。

NSX 所提供的虚拟化网络平台不再要求各业务系统的网络物理隔离，只需要标准化的交换机或路由器把整个数据中心联成一张大网，NSX 会在虚拟网络层上根据业务需求提供隔离(使用微分段技术)。数据中心网络的规划和管理大大简化，既可以降低网络设备的采购成本，也可以有效降低网络的运营管理成本。在 NSX 虚拟网络上，传统网络中由硬件提供的路由 (RT – Routing) 、交换 (SW – Switching)、负载均衡 (LB – Load Balancing) 和防火墙 (FW – FireWall) 功能都改由软件来实现了，具有更大的灵活性。

VXLAN 拓扑：

1.2 NSX特点：

1）可实现业务持续性：虚机的网络环境都是由虚拟网络所提供的，当发生故障转移 (failover) 时，虚机不用改变包括 IP 地址在内的任何网络参数，NSX 会负责把虚机所依赖的整个虚拟网络环境以及对应的网络安全策略迁移到新的服务器上运行，从而保证业务的持续性。
2）分布式软件防火墙和微分段大大简化了数据中心的网络安全管理，相比物理网络环境能够实现更高等级的安全防护。

1.3 NSX 组件

各组件的拓扑关系如下图所示：

1）NSX Manager：

部署完成后界面：

用web直接输入https://nsx_manager_ip/登录后如下：

2）NSX 中防火墙

NSX-V虚拟化平台中的防火及为逻辑防火墙，其可为动态虚拟数据中心提供安全机制，该防火墙包含两个组件，用于应对不同的部署用例。分布式防火墙侧重于东西向访问控制，基于分段技术的，又称为DFW。而 Edge 防火墙侧重于租户或数据中心外围的南北向流量执行。这两个组件结合使用可满足虚拟数据中心的端对端防火墙需求，当然可只使用其中任意一种。另外，开启防火墙日志功能，防火墙生成并存储日志文件，例如，审核日志、规则消息日志和系统事件日志。您必须为每个启用了防火墙的群集配置一个 syslog 服务器。syslog 服务器在 Syslog.global.logHost 属性中指定。

对于DFW，其部署在为 NSX 准备的所有 ESXi 主机群集上，分布式防火墙 (DFW) 作为 VIB 软件包在内核中运行。主机会自动在 ESXi 主机群集上激活 DFW。DFW 分布在每个 ESXi 主机的内核中，因此，在将主机添加到群集时，将会横向扩展防火墙容量。添加更多主机将会增加 DFW 容量。随着您的基础架构扩展，并且您购买更多服务器以满足不断增长的虚拟机数量要求，DFW 容量也会动态增加。这样，NSX的分布式防火墙随ESXi主机集群水平扩展来扩充东西向防火墙的处理容量，提供更加精细颗粒度的访问，其部署完全自动化，整个数据中心只需集中化统一管理一个分布式防火墙即可。在多租户环境中，管理员可以在集中式防火墙用户界面（DFW）上定义高级流量规则。

Edge 防火墙会监控南北向流量以提供边界安全功能，包括防火墙、网络地址转换 (Network Address Translation, NAT) 以及点对点 IPSec 和 SSL VPN 功能。此解决方案可用于任意虚拟机组合形式，并且可以在高可用性模式下部署。

**防火墙规则区域：**可以添加一个区域来分隔防火墙规则。例如，您可能希望将销售部和工程部的对应规则分别置于两个单独区域中。可以为 L2 和 L3 规则创建多个防火墙规则区域。由于多个用户可以登录到 Web 客户端，并且可以同时对防火墙规则和区域进行更改，用户可以锁定自己正在处理的区域，以便其他人无法修改该区域中的规则。

DFW 策略规则： 使用 vSphere Web Client 创建，这些规则存储在 NSX Manager 数据库中。通过使用 DFW，您可以创建以太网规则（L2 规则）和一般规则（L3 到 L7 规则）。这些规则从 NSX Manager 发布到 ESXi 群集，然后从 ESXi 主机下发到虚拟机级别。同一群集中的所有 ESXi 主机具有相同的 DFW 策略规则，即策略规则按集群级别应用，一个集群内规则应用是一致的。

以边界为中心的传统安全架构的防火墙会影响新型DC中应用的扩展，如，通过网络边界的物理防火墙往返传输流量会导致某些应用程序出现额外的延迟。而DFW 从物理防火墙中移除不必要的往返传输以补充和增强物理安全性，并减少网络上的流量。在离开 ESXi 主机之前，拒绝的流量先被阻止掉。这些流量不需要穿过网络，靠物理防火墙将其阻止在边界位置。另发往同一主机或另一主机上的另一个虚拟机的流量不必穿过网络到达物理防火墙，并随后返回到目标虚拟机，这一过程将被省略。而是在 ESXi 级别即可检查流量并将其传输到目标虚拟机。

注意： NSX DFW 是一个有状态防火墙，这意味着它监控活动连接的状态，并使用该信息确定允许哪些网络数据包通过防火墙。DFW针对每个 vNIC 应用于虚拟机，其是vNIC级的粒度监测。即，防火墙规则是在每个虚拟机的 vNIC 中实施的。在流量即将离开虚拟机并进入虚拟交换机（输出）时，将在虚拟机的 vNIC 中进行流量检查。在流量即将离开交换机但在进入虚拟机（输入）之前，也会在 vNIC 中进行检查。

对于NSX本身，其有一个排除列表（例外），可自动从 DFW 中排除 NSX Manager 虚拟设备、NSX Controller 虚拟机和 NSX Edge 服务网关。如某虚拟机不需要 DFW 服务，可手动将其添加到排除列表中。

DFW规则分散应用于ESXi主机上，最低下降至虚拟机vNIC级别，ESXi 主机上的分布式防火墙实例包含以下两个表：

1）用于存储所有安全策略规则的规则表。
2）连接跟踪器表，用于缓存具有允许操作的规则的流条目。

DFW 规则是按“自上而下”的顺序运行的。必须通过防火墙的流量先与防火墙规则列表进行匹配。根据规则表中的最上面规则检查每个数据包，然后向下移到表中的后续规则。表中第一条匹配流量参数的规则会被强制实施。表中的最后一个规则是 DFW 默认规则。与默认规则上方的任何规则均不匹配的数据包将强制使用默认规则。

每个虚拟机具有自己的防火墙策略规则和上下文。在 vMotion 期间，在虚拟机从一个 ESXi 主机移动到另一个主机时，DFW 上下文（规则表、连接跟踪器表）随虚拟机一起移动。此外，在 vMotion 期间，所有活动连接保持不变。换句话说，DFW 安全策略独立于虚拟机位置，及不包含在虚拟机里。

DFW 微分段

微分段将每个相关的虚拟机组隔离到不同的逻辑网段上，从而使数据中心网络变得更加安全。通过使用微分段，管理员可以为从数据中心的一个逻辑网段传输到另一个逻辑网段的流量（东西向流量）设置防火墙。因此，东西向流量的防火墙限制了攻击者在数据中心横向移动的能力。

微分段由 NSX 的分布式防火墙 (DFW) 组件提供支持。DFW 的强大之处在于，网络拓扑不再是安全实施的障碍。可以使用任何类型的网络拓扑实现相同程度的流量访问控制。

关于vm的ip的感知获取，VMware Tools 在虚拟机上运行并提供多个服务。对于分布式防火墙而言，必不可少的一项服务是将虚拟机及其 vNIC 与 IP 地址关联起来。在 NSX 6.2 之前，如果未在虚拟机上安装 VMware Tools，则无法获知该虚拟机的 IP 地址。在 NSX 6.2 及更高版本中，您可以对群集进行配置，使其通过 DHCP 侦听或 ARP 侦听（或两者）来检测虚拟机的 IP 地址。这样，NSX 便能够在虚拟机未安装 VMware Tools 时检测 IP 地址。如果已安装，则 VMware Tools 可与 DHCP 侦听和 ARP 侦听配合工作。

上下文感知防火墙

从 NSX Data Center for vSphere 6.4 开始，支持上下文感知防火墙。防火墙规则不能使用应用程序 ID。上下文感知防火墙可识别应用程序并对东西向流量强制实施微分段，而这一过程与应用程序所使用的端口无关。上下文感知或基于应用程序的防火墙规则可以通过定义第 7 层服务对象来定义。在定义规则中的第 7 层服务对象后，可以通过特定的协议、端口及其应用程序定义来定义规则。规则定义可基于 5 个以上的元组。您还可以使用应用程序规则管理器来创建上下文感知防火墙规则。

防火墙会在数据经过 TCP/IP 模型的每一层时，根据数据中添加的 L2、L3、L4 和 L7 数据包标头之一或这些不同标头的组合采取操作，整体架构如下。

在第 3 层或第 4 层防火墙中，仅根据源/目标 IP、端口和协议采取操作。此外，还会跟踪网络连接活动。这种类型的防火墙称为有状态防火墙。

第 7 层或上下文感知防火墙可以执行第 3 层和第 4 层防火墙执行的每项操作。此外，它还可以智能地检查数据包的内容。例如，可以写入第 7 层防火墙规则，以拒绝来自特定 IP 地址的所有 HTTP 请求。

可以为上下文感知防火墙创建包含 5 个以上元组的规则。还可以持续添加所需数量的元组来创建正确的规则。仅支持协议和用户属性，您的每个规则可以具有用户或协议属性。这些属性可以位于标准的 SRC/DEST 字段中，也可以在末尾添加以作为额外属性，例如：。

在为虚拟机配置上下文感知防火墙后，也必须将分布式深度数据包检查 (Deep Packet Inspection, DPI) 属性与 5 个元组相匹配。在此阶段，会再次对规则进行处理和验证，并找到正确的规则。根据定义的操作，将会创建或丢弃流量。以下为上下文感知防火墙中的数据包处理过程示意图：

1）在数据包进入 DFW 筛选器后，将基于 5 元组在流量表中查找数据包。

2）如果找不到任何流量/状态，则会基于 5 元组将流量与规则表相匹配，并且会在流量表中创建一个条目。

3）如果流量与具有第 7 层服务对象的规则匹配，则流量表状态会被标记为“DPI 正在进行中”

之后，流量会被推送到 DPI 引擎。DPI 引擎将确定 APP_ID。

4）在确定 APP_ID 后，DPI 引擎会向下发送已插入到此流量上下文表中的属性。“DPI 正在进行中”标记将被移除，并且流量不再被推送到 DPI 引擎。

5）流量（现在具有 APP-ID）将针对匹配 APP_ID 的所有规则重新进行评估，该过程从基于 5 元组匹配的原始规则开始，并确保不会优先考虑任何匹配的 L4 规则。将会执行适当的操作（允许/拒绝），并相应地更新流量表条目。7 层应用程序标识可识别特定的数据包或流量由哪个应用程序生成，而这一过程与所使用的端口无关。上下文感知防火墙工作流：

eg1：使用 APP_HTTP 服务对象创建第 7 层防火墙规则，允许从虚拟机到任何目标的 HTTP 请求。创建防火墙规则后，您将在传递此防火墙规则的源虚拟机上启动一些 HTTP 会话，并在源虚拟机的特定 vNIC 上打开流量监控。防火墙规则检测 HTTP 应用程序上下文，并在源虚拟机上强制执行该规则。

导航到网络和安全 (Networking & Security) > 安全 (Security) > 防火墙 (Firewall),创建上下文感知防火墙规则；

a)输入用来标识规则的规则名称。例如，输入 L7_Rule_HTTP_Service。

b)在“源”列中，单击编辑 (Edit) (HTML5 中的编辑图标。）图标。此时将打开“指定源”页面。

从对象类型 (Object Type)下拉菜单中，选择虚拟机 (Virtual Machine)。从可用对象 (Available Objects)列表中，选择虚拟机。将此对象移动到选定的对象 (Selected Objects)列表中，然后单击保存 (Save)。

c)在“目标”列中，保留默认值为“任意”。

d)在“服务”列中，单击编辑 (Edit) (HTML5 中的编辑图标。）图标。此时将打开“指定服务”页面。从对象类型 (Object Type)下拉菜单中，选择服务 (Services),从可用对象 (Available Objects)列表中，选择 App_HTTP 服务。将此服务移动到选定的对象 (Selected Objects)列表中，然后单击保存 (Save)。

确保启用了防火墙规则，并且将规则操作设置为允许 (Allow)。

e)单击发布 (Publish)以发布防火墙规则配置。

上图显示 ,流量监控数据显示了防火墙规则已检测到应用程序 (HTTP) 上下文。在源虚拟机 (10.161.117.238) 上强制执行规则 1005，并且流量流向了目标 IP 地址 151.101.129.67 和 151.101.53.67。如果将该防火墙http规则动作配置为禁用：

上下文感知防火墙专门用于东西向情况，而不适用于常规 Web 浏览分类。应用程序可以限制为在数据中心使用的特定应用程序，例如 SSH、FTP、TFTP、SQL、DNS、PCoIP 等。以下介绍了DFW的几个使用场景。

【使用场景借鉴】
eg 1： 某个团队的 IT 总监 Don 指示他的 NSX 管理员限制特定虚拟机的所有 HTTP 流量。Don 希望不论该流量来自哪个端口，都对其进行限制。
eg2： 某个团队的 IT 主管 Robert 希望当特定虚拟机的 HTTP 流量不是来自 TCP 端口 8080 时限制该流量。
eg 3：现在有一个上下文感知防火墙，它还可以扩展到基于身份的登录，以便 Active Directory 用户在登录到其虚拟桌面后，将只能访问来自端口 8080 的 HTTP 请求。一位经理希望他的员工 John 能够访问仅来自端口 8080 的 HTTP，并且只能在 John 登录到 Active Directory 时访问。

场景 1：允许特定端口上的 Web 流量
a）建防火墙规则，即 HTTP to Web Server。
b)择所需的 Web 服务器作为目标 (Destination)。
c)创建服务以通过以下参数识别应用程序:层 L7,应用程序 HTTP,协议 TCP,目标端口 80
d)将默认防火墙规则更改为阻止 (Block)后发布

会话定时器

定义：定义会话闲置后在防火墙中保留的时间。协议的会话超时过期后，会话会关闭。
在防火墙上，可以为 TCP、UDP 和 ICMP 会话指定一些超时以应用于用户定义的部分虚拟机或 vNIC。默认情况下，不包含在用户定义的定时器中的任何虚拟机或虚拟网卡都包含在全局会话定时器中。所有这些超时都是全局性的，这意味着这些超时会应用于主机上该类型的所有会话。

可以根据您的网络需要修改默认会话值。请注意，如果将值设置得太低，可能会导致频繁超时；如果将值设置得太高，可能会延迟故障检测。

配置过程：网络和安全 (Networking & Security) > 安全性 (Security) > 防火墙设置 (Firewall Settings) > 超时设置 (Timeout Settings)。

虚拟机 IP 发现

在 NSX 6.2 及更高版本中，您可以对群集进行配置，使其通过 DHCP 侦听或 ARP 侦听（或两者）来检测虚拟机的 IP 地址。这样，NSX 便能够在虚拟机未安装 VMware Tools 时检测 IP 地址。如果已安装，则 VMware Tools 可与 DHCP 侦听和 ARP 侦听配合工作来获取ip。VMware Tools 在虚拟机上运行并提供多个服务。对于分布式防火墙而言，必不可少的一项服务是将虚拟机及其 vNIC 与 IP 地址关联起来。在 NSX 6.2 之前，如果未在虚拟机上安装 VMware Tools，则无法获知该虚拟机的 IP 地址。VMware 建议在环境中的每个虚拟机上安装 VMware Tools，另外它还提供其他功能：

a)允许在虚拟机与主机或客户端桌面之间进行复制和粘贴。
b)与主机操作系统同步时间。
c)允许通过 vCenter 关闭或重新启动虚拟机。
d)从虚拟机收集网络、磁盘和内存的使用情况并发送到主机。
e)通过发送和收集检测信号来确定虚拟机的可用性。

对于未安装 VMware Tools 的虚拟机，如果该虚拟机的群集已启用 ARP 侦听和 DHCP 侦听，则 NSX 将通过 ARP 侦听或 DHCP 侦听来获知 IP 地址,且不会自动移除使用 ARP 侦听检测到的 IP 地址。使用检测到的虚拟机 IP 地址可用来配置 SpoofGuard 策略和分布式防火墙策略。可以在全局级别或主机群集级别指定 IP 检测类型。

【更改全局 IP 检测检测过程】：

a)导航到网络和安全 > 安全性 > SpoofGuard>IP 检测类型旁边，单击 齿轮图标:

【更改主机 群集 IP 检测检测过程】：

a)导航到网络和安全 > 安装和升级 > 主机准备>单击操作 > 更改 IP 检测类型:

更改参考：

IP 检测类型	说明
DHCP 侦听	NSX 读取 DHCP 侦听条目以检测网络中的虚拟机的 IP 地址。
ARP 侦听	NSX 使用 ARP 侦听机制检测虚拟机的 IP 地址。
	建议：在使用 ARP 侦听检测 IP 地址时配置 SpoofGuard。SpoofGuard 可以帮助保护您的网络以抵御 ARP 攻击。择了 ARP 侦听，请输入必须为每个虚拟机的每个 vNIC 检测的最大 ARP IP 地址数。默认值为 1。ARP 侦听最多可以为每个虚拟机的每个 vNIC 检测 128 个 IP 地址。有效值范围是 1 到 128。例如，如果指定值 5，则表示最多为每个虚拟机的每个 vNIC 检测前五个 IP 地址。不会自动移除使用 ARP 侦听检测到的 IP 地址。换句话说，使用 ARP 侦听检测到的 vNIC IP 地址没有超时。

默认 CPU 阈值为 100，内存阈值为 100。可以通过 REST API 调用修改默认阈值。内存和 CPU 使用率超过阈值时，防火墙模块将生成系统事件。可在网络和安全 (Networking & Security) > 系统 (System) > 事件 (Events) > 系统事件 (System Events）查看。

每个 ESXi 主机均配置有以下有关 DFW 资源利用率的阈值参数：

CPU 占用率、堆内存、进程内存、每秒连接数 (Connections Per Second, CPS) 和最大连接数。如果在 200 秒的时间段内连续超过相应阈值 20 次，将发出警报。每 10 秒进行一次采样。内存由分布式防火墙的内部数据结构使用，这些数据结构包括筛选器、规则、容器、连接状态、已发现的 IP 和丢弃的流量。可使用以下 API 调用来处理这些参数：PUT /api/4.0/firewall/stats/thresholds。

SpoofGuard

SpoofGuard 通过维护虚拟机名称和 IP 地址的参考表来抵御 IP 欺骗。SpoofGuard 通过使用 NSX Manager 在虚拟机最初启动时从 VMware Tools 检索的 IP 地址来维护此参考表。

与 vCenter Server 同步后，NSX Manager 会从每个虚拟机上的 VMware Tools 中收集所有 vCenter 客户机虚拟机的 IP 地址。如果虚拟机被攻击，则 IP 地址可能被假冒，恶意传输信息可能会绕过防火墙策略。

默认情况下，SpoofGuard 处于非活动状态，您必须在每个逻辑交换机或 VDS 端口组上明确启用 SpoofGuard。检测到虚拟机 IP 地址更改后，分布式防火墙 (DFW) 会阻止来自或流向此虚拟机的流量，直到您批准此新的 IP 地址为止。SpoofGuard 同时支持 IPv4 和 IPv6 地址。使用 VMwareTools 和 DHCP 侦听时，SpoofGuard 策略支持为一个虚拟网卡分配多个 IP 地址。ARP 侦听最多支持每个虚拟机、每个虚拟网卡发现 128 个地址。

为特定网络创建 SpoofGuard 策略后，您可以授权 VMware Tools 所报告的 IP 地址，并在必要时更改这些地址以防止欺骗。SpoofGuard 本身还信任从 VMX 文件和 vSphere SDK 收集的虚拟机的 MAC 地址。可以在防火墙规则之外使用 SpoofGuard 阻止已确认为虚假的流量。

注：仅当启用了分布式防火墙 (DFW) 时，SpoofGuard 才可正常运行。