.vCloud Director 网络之 vShield Edge
最近在测试vCloud Director 1.5。在vCloud Director里面,有许多关于网络的设置,很多都是调用vShield Manager的组件去完成这些设置,所以为了更好的理解vCloud的网络,测试了一下vShield Edge
vShield ManagervShield App,vShield Endpoint,vShield Edge,vShield App with Data Security的统一管理控制台。
vShield Edge测试_第1张图片
vShield Manager的中文文档的下载地址
http://www.vmware.com/cn/support/support-resources/pubs/vshield_pubs/
百度文库上的一篇官方对vShield 产品组件的PPT介绍
http://wenku.baidu.com/view/bfc92a8a6529647d272852c6.html
 
vShield Edge 的一些概念。
由于之前对vShield Manager没有做过什么测试,所以在vCloud Director设置完后的网络返回去对应vCenter的关系时候,就会发现在vCenter里面的网络设置会非常复杂。很难找出对应关系。
下面是对vShield Edge的一些测试。
vShield Manager安装配置完成后,在vCenter里面,就会出现有关vShield的组件标签,vShield Edge就是在vCenter的这个去配置的。
vShield Edge测试_第2张图片
下图是VMware vShield Edge组件的图示,vShield Edge会有一个内部端口组和外部端组的概念,官方文档是这么解释的:每个 vShield Edge 虚拟设备都具有外部和内部网络接口。内部接口连接至安全的端口组,并充当端口组中所有受保护虚拟机的网关。分配给内部接口的子网掩码可以是 RFC 1918 私有地址。vShield Edge 的外部接口连接至上行链路端口组,后者可以访问共享企业网络或提供访问层联网功能的服务。
vShield Edge测试_第3张图片
.vShield Edge的安装。
在需要保护的端口组上面,安装vShield Edge,填入相关的信息。
首先,为方便测试,新建虚拟机端口组,Edge inEdge out,并假设Edge in为内部端口组,Edge out为外部端口组。
2在需要保护的端口组上面安装vShield Edge ,也就是Edge in端口组,填入相关信息。
这里如我假设:
内部端口组:网段为192.168.1.0/24,端口组IP192.168.1.1
外部网段为192.168.10.0/24,端口组IP192.168.10.150,网关为192.168.10.1
接着点击安装。
vShield Edge测试_第4张图片
3.接着就会进行部署。部署后如图所示。
vShield Edge测试_第5张图片
4.vCenter上面,会部署一台vShield-Edge+端口组 命名的虚拟机。
vShield Edge测试_第6张图片
5.点击回去查看Edge in端口组安装完成后vShield Egde的界面。
vShield Edge测试_第7张图片
6.可以查看一下vShield Edge 这台虚拟机的IP地址。它会拥有两个IP,分别就是刚刚填写的端口组IPvShield Edge测试_第8张图片
7.再查看一下Edge inEdge out这两个端口组上面的虚拟机,都会看到vShield Edge这台虚拟机。
vShield Edge测试_第9张图片
vShield Edge测试_第10张图片
8.然后再来看看Edge out端口组。可以看到这个端口组是没有被安装vShield Edge,因为内部端口组的流量就是从这个端口组走出的。
vShield Edge测试_第11张图片
9.我画了个草图,来帮助自己理解vShield Edge
vShield Edge测试_第12张图片
简而言之,vShield Edge部署完成之后,就会拥有两个IP,一个是内部端口组的IP,可以相当于内部端口组上虚拟机的网关,还有一个是外部端口组的IP,这个外部IP,可以用于DNAT的端口映射。外部端口组的IP也可以直接是公网的IP,直接连出外网,也可以通过SNAT的方法使内部的虚拟机使用一个公有IP访问到外网。也可以使用DNAT映射多个公网地址等等。
VMware vShield Edge 结合 VMware View 的部分功能性测试。
这里要注意的一点是,默认 Edge 的防火墙策略是禁止的。需要进行开启。
vShield Edge测试_第13张图片
1 DNAT 端口映射
大概测试环境如下:
Egde in 的端口组我创建了一个虚拟机,上面安装了 VMware View 5.0 。这台虚拟机的 IP 192.168.1.10( 内部端口组网段就是 192.168.1.0/24)
192.168.10.150 就是外部端口组的 IP
我在 DNAT 添加了如下一条规则:
vShield Edge测试_第14张图片
内部的192.168.10.1的端口443映射成了外部192.168.10.1508443端口
然后,我在192.168.10.0/24的网段访问
https://192.168.10.150:8443/admin URL,是可以进入View的管理界面的。
vShield Edge测试_第15张图片
输入用户名密码登陆,登陆成功。
vShield Edge测试_第16张图片
也可以使用View Client进行访问。不过需要把端口相对应的进行更改。(如何要访问到虚拟桌面,则要映射4172的UDP和TCP端口)
vShield Edge测试_第17张图片
访问成功
vShield Edge测试_第18张图片
2 DNAT IP 映射。
同样在 DNAT 里面添加如下一条规则。
把内部的 192.168.1.10. 映射成外部的 192.168.10.165
vShield Edge测试_第19张图片
然后,我在192.168.10.0/24的网段访问访问
https://192.168.10.165/admin 一样是可以访问成功的。
vShield Edge测试_第20张图片
同样的 View Client 也是可以访问成功的。
vShield Edge测试_第21张图片
这时候可以再看看vShield Edge这台虚拟机,是会多出一个DNAT IP地址的。可以看到多出了192.168.10.165IPvShield Edge测试_第22张图片
总结
在结合VMware View的时候也可以做一下更深入的测试,比如可以模拟一下View的连接服务器配置View的安全网关映射出外网等功能。
也可以测试一下vShield Edge的负载均衡功能,可以使用View的标准连接服务器和副本服务器模拟环境来进行测试。
另外vShield是支持vSphereHA功能,而且可以根据虚拟机端口组的逻辑分组来定义防火墙策略等,而不用去考虑虚拟机所在的主机位置,十分灵活。
纠结。。。。。。
另外就是发图片的博文只能一张一张上传图片?