Новости Статьи VMware Veeam StarWind Microsoft ИТ-ГРАД Citrix Symantec 5nine События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 4600 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru / Articles / Распределенный брандмауэр в vCloud Director 8.20: особенности решенияРаспределенный брандмауэр в vCloud Director 8.20: особенности решения.

Распределенный брандмауэр в vCloud Director 8.20: особенности решенияРаспределенный брандмауэр в vCloud Director 8.20: особенности решения.

Распределенный брандмауэр в vCloud Director 8.20: особенности решенияРаспределенный брандмауэр в vCloud Director 8.20: особенности решения.

Автор: ИТ-ГРАД
Дата: 17/05/2018

Распределенный файервол, или DFW (Distributed Firewall), – популярная функция NSX. С выходом vCloud Director 8.20 инструмент стал доступен клиентам вместе с новым интерфейсом HTML5 и API. Управление файерволом осуществляется на уровне Org vDC.


Использование опции Manage Firewall для управления DFW

Если кликнуть по ссылке Manage Firewall в свойствах виртуального ЦОД, откроется окно управления DFW, которое выглядит так:


Окно управления Distributed Firewall

Как сказано в официальной документации, Distributed Firewall представляет собой брандмауэр, реализованный на уровне ядра гипервизора, который обеспечивает контроль сети и виртуализированных нагрузок. Здесь можно создавать политики на основе объектов VMware vCenter, таких как дата-центры, кластеры, виртуальные машины, используя в том числе комбинации из IP-адреса или наборов IP-адресов, VLAN, VXLAN, групп безопасности, включая объекты Active Directory. Правила брандмауэра работают на уровне отдельно взятой виртуальной машины и не зависят от сетевой топологи, что обеспечивает постоянный контроль доступа, даже когда ВМ переходит в режим работы vMotion. Такая «нативность» с гипервизором дает файерволу большие преимущества, поскольку обеспечивается максимальная пропускная способность и более высокая консолидация рабочих нагрузок на физических серверах. Кроме того, файервол поддерживает масштабируемую архитектуру, благодаря чему при добавлении в ЦОД новых узлов автоматически увеличивается пропускная способность брандмауэра.

Сравнение брандмауэров

Отметим, что в vCloud Director 8.20 можно работать с пограничным шлюзом (Edge gateway) и распределенным (Distributed) файерволом. Чтобы уловить разницу между ними, рассмотрим отдельные примеры.


Пример с несколькими Org vDC

Пограничный шлюз на уровне Org vDC

На рисунке выше показаны два Org vDC с разной сетевой топологией. Org vDC 1 использует Org vDC Edge Gateway, который, помимо функции файервола, выполняет другие сетевые службы (балансировка нагрузки, VPN, NAT, маршрутизация и т. д.). Обратите внимание, что на этом уровне брандмауэр отслеживает только те пакеты, которые маршрутизируются через пограничный шлюз.

Пограничный шлюз на уровне vApp

Спустившись на уровень ниже, мы видим контейнеры vApps с vApp Edges. Они отвечают за маршрутизацию, межсетевое экранирование и NAT между маршрутизируемой сетью vApp и сетью Org vDC.

Распределенный файервол

Распределенный файервол же работает на уровне vNIC виртуальных машин. Это означает, что здесь реализуется проверка входящего/исходящего трафика ВМ и нет зависимости от топологии сети.

Особенности прав доступа в Distributed Firewall

В vCloud Director 8.20 появились новые права доступа, связанные с распределенным файерволом:

  • управление распределенным брандмауэром;
  • настройка правил распределенного брандмауэра;
  • просмотр правил распределенного брандмауэра;
  • включение/выключение распределенного брандмауэра.

Последнее право по умолчанию распространяется на системных администраторов, при этом провайдер облачных услуг контролирует, кому из клиентов разрешать использовать DFW. С учетом этих возможностей распределенный файервол может предоставляться как услуга с добавленной стоимостью. Поставщик выборочно включает DFW для отдельных Org vDC, после чего клиент самостоятельно настраивает и работает с брандмауэром.

Как создать новое правило в DFW

Прежде чем использовать портал vCloud Director для работы с распределенным файерволом, необходимо активировать (включить) распределенный брандмауэр на уровне организации виртуального ЦОД.



Окно включения Distributed Firewall

Важный момент! Правила, создаваемые в DFW, по умолчанию применяются к виртуальному ЦОД организации.


Обзор свойств правила

В поле Applied To можно изменять критерии применимости. При этом в свойствах правила может присутствовать несколько объектов, что позволяет сократить общее количество создаваемых правил. Например, если необходимо разрешить трафик http в сети internal1, internal2, internal3, достаточно создать одно правило, в котором будут определены рассматриваемые сети, вместо создания трех отдельных строк.

Создаем новое правило. Для этого открываем vCloud Director, кликаем по Org vDC, в контекстном меню выбираем Manage Firewall – открывается отдельное окно распределенного брандмауэра.


Пример Default Allow Rule, созданного по умолчанию

Далее необходимо определиться с типом правила. Обратите внимание, что на закладке General можно создавать правила Layer 3, а на закладке Ethernet – правила Layer 2. Чтобы добавить правило на уровень ниже существующего, щелкните по строке правила, а затем нажмите кнопку «+». Новая строка появится ниже выбранного правила. Если же на странице Distributed Firewall присутствует единственное правило, созданное по умолчанию (Default Allow Rule), любое вновь создаваемое правило будет размещаться на уровень выше.


Пример создания нового правила

Строка любого правила содержит поля Source, Destination и Service, в которых при создании автоматически прописывается значение Any, а само правило определяет разрешающее действие. Эти значения можно изменить при необходимости. Обратите внимание, что правило содержит поле Name, которое не должно быть пустым. В ячейках Source и Destination указываются отдельно взятые IP-адреса, IP-диапазоны или значения в формате CIDR.


Пример редактирования полей правила

Кликнув по значку «+» в ячейке Source или Destination, можно добавить новый объект – сеть организации vDC, виртуальную машину, указать IP-диапазон, а также использовать фильтры.


Пример выбора объектов в свойствах правила DFW

Изменения, вносимые в правилах DFW, необходимо сохранять. Для этого используется кнопка Save changes.

Заключение

В этой статье мы познакомились с особенностями работы распределенного брандмауэра, обозначили разницу между Edge Gateway и Distributed Firewall, а также научились создавать правила. Следите за новыми материалами первого блога о корпоративном IaaS. В следующей статье расскажем о порядке применения правил, рассмотрев конкретные кейсы, и научимся вносить изменения в уже существующую конфигурацию.

Оригинал статьи в блоге ИТ-ГРАД.

Реклама







Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

03/10/2018:  Cloud Day 2018
25/10/2018:  BIS-2018: Современная инженерная инфраструктура (Мск)
08/11/2018:  CNews Forum 2018: Информационные технологии завтра

Быстрый переход:
IT-Grad VMware 5nine Citrix Veeam StarWind Hardware VeeamON Nutanix vSphere RVTools Enterprise Security Code Offtopic Cisco vGate Microsoft Cloud SDRS Parallels IaaS HP VMFS PowerCLI VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Gartner Softline EMC Login VSI Xen Teradici Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter VMachines Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V Visio vSAN SRM Workspace Horizon Tools vRNI Log Insight vCloud Operations Labs Manager UEM vROPs VVols Workstation SDDC Virtual Appliance Update Backup DRS App Volumes OpenStack Forum PowerShell HA LSFS Lifecycle Client vCSA Datacenter Workspace ONE NSX Intel Agent Networking esxtop Book Photon VMworld Fusion Cloud Computing SSD Comparison Blast Performance Nested AWS XenDesktop VSA vNetwork SSO Host Client VMDK VTL iSCSI Whitepaper Appliance VUM V2V Cache Support Обучение Web Client Mobile Automation Replication Desktop Fault Tolerance DR Vanguard SaaS Connector Event Free SQL VSAN Sponsorship Finance FT Converter XenApp Snapshots VCP vGPU Auto Deploy SMB RDM Mirage XenClient MP Video SC VMM Certification VDP Partners PCoIP RHEV vMA Award Network USB Licensing Logs Server Demo vCHS Calculator Бесплатно vExpert Beta SAN Exchange MAP ONE DaaS Monitoring VPLEX UCS SDK Poster VSPP Receiver vMotion VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint Stencils Bug Director Memory Troubleshooting Upgrade API Android Graphics Migration Diagram Air CLI Plugin DPM SIOC Flex Mac Open Source SSH VAAI Chargeback Heartbeat MSCS Ports SVMotion Storage DRS Bugs Composer
Интересные плакаты:

Постер VMware vSphere PowerCLI 6.3:

Постер VMware ESXi 5.1:

Постер VMware Hands-on Labs 2015:

Постер VMware Platform Services Controller 6.0:

Постер VMware vCloud Networking:

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Постер VMware vCenter Server Appliance:

Порты и соединения VMware vSphere 6:

Порты и соединения VMware Horizon 7:

Порты и соединения VMware NSX:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

Постер Veeam Backup & Replication v8 for VMware:

Постер Microsoft Windows Server 2012 Hyper-V R2:

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Сравнение Oracle VirtualBox и VMware Workstation.

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Проектирование инфраструктуры виртуализации VMware vSphere 4.

Как использовать возможности VMware vSphere Management Assistant (vMA).

Как поднять программный iSCSI Target на Windows 2003 Server для ESX

Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

Новые возможности VMware vSphere 5.0 - официально.

Отличия VMware ESXi 4 free (бесплатного), ESXi 4 и ESX 4 в составе VMware vSphere.

Все ресурсы о виртуализации:
Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Купить:

VMware vSphere 6.5


Veeam Backup 9.5


Полезные ресурсы:


Видео компании VMware

Видео про Citrix Xen

Видео о виртуализации Microsoft

Утилиты для виртуальных машин Microsoft.

Книги на английском языке

Блоги на английском языке

Блоги на русском языке

Агрегация статей в твиттере VMC:


Copyright VM Guru 2006 - 2018, Александр Самойленко. Правила перепечатки материалов.