vShield Edge测试

一 .vCloud Director 网络之 vShield Edge 。

最近在测试 vCloud Director 1.5 。在 vCloud Director 里面，有许多关于网络的设置，很多都是调用 vShield Manager 的组件去完成这些设置，所以为了更好的理解 vCloud 的网络，测试了 一下 vShield Edge 。

vShield Manager 是 vShield App,vShield Endpoint,vShield Edge,vShield App with Data Security 的统一管理控制台。

vShield Manager 的中文文档的下载地址

http://www.vmware.com/cn/support/support-resources/pubs/vshield_pubs/ 。

百度文库上的一篇官方对 vShield 产品组件的 PPT 介绍

http://wenku.baidu.com/view/bfc92a8a6529647d272852c6.html

 

二 vShield Edge 的一些概念。

由于之前对 vShield Manager 没有做过什么测试，所以在 vCloud Director 设置完后的网络返回去对应 vCenter 的关系时候，就会发现在 vCenter 里面的网络设置会非常复杂。很难找出对应关系。

下面是对 vShield Edge 的一些测试。

vShield Manager 安装配置完成后，在 vCenter 里面，就会出现有关 vShield 的组件标签， vShield Edge 就是在 vCenter 的这个去配置的。

下图是 VMware 对 vShield Edge 组件的图示， vShield Edge 会有一个内部端口组和外部端组的概念，官方文档是这么解释的：每个 vShield Edge 虚拟设备都具有外部和内部网络接口。内部接口连接至安全的端口组，并充当端口组中所有受保护虚拟机的网关。分配给内部接口的子网掩码可以是 RFC 1918 私有地址。 vShield Edge 的外部接口连接至上行链路端口组，后者可以访问共享企业网络或提供访问层联网功能的服务。

三 .vShield Edge 的安装。

在需要保护的端口组上面，安装 vShield Edge ，填入相关的信息。

首先，为方便测试，新建虚拟机端口组， Edge in 和 Edge out ，并假设 Edge in 为内部端口组， Edge out 为外部端口组。

2 在需要保护的端口组上面安装 vShield Edge , 也就是 Edge in 端口组，填入相关信息。

这里如我假设 :

内部端口组 : 网段为 192.168.1.0/24 ，端口组 IP 为 192.168.1.1 。

外部网段为 192.168.10.0/24 ，端口组 IP 为 192.168.10.150 ，网关为 192.168.10.1 。

接着点击安装。

3. 接着就会进行部署。部署后如图所示。

4. 在 vCenter 上面，会部署一台 vShield-Edge+ 端口组 命名的虚拟机。

5. 点击回去查看 Edge in 端口组安装完成后 vShield Egde 的界面。

6. 可以查看一下 vShield Edge 这台虚拟机的 IP 地址。它会拥有两个 IP ，分别就是刚刚填写的端口组 IP 。

7. 再查看一下 Edge in 和 Edge out 这两个端口组上面的虚拟机，都会看到 vShield Edge 这台虚拟机。

8. 然后再来看看 Edge out 端口组。可以看到这个端口组是没有被安装 vShield Edge ，因为内部端口组的流量就是从这个端口组走出的。

9. 我画了个草图，来帮助自己理解 vShield Edge 。

简而言之， vShield Edge 部署完成之后，就会拥有两个 IP ，一个是内部端口组的 IP ，可以相当于内部端口组上虚拟机的网关，还有一个是外部端口组的 IP ，这个外部 IP ，可以用于 DNAT 的端口映射。外部端口组的 IP 也可以直接是公网的 IP ，直接连出外网，也可以通过 SNAT 的方法使内部的虚拟机使用一个公有 IP 访问到外网。也可以使用 DNAT 映射多个公网地址等等。

四 VMware vShield Edge 结合 VMware View 的部分功能性测试。

这里要注意的一点是，默认 Edge 的防火墙策略是禁止的。需要进行开启。

（ 1 ） DNAT 端口映射

大概测试环境如下：

Egde in 的端口组我创建了一个虚拟机，上面安装了 VMware View 5.0 。这台虚拟机的 IP 是 192.168.1.10( 内部端口组网段就是 192.168.1.0/24) 。

192.168.10.150 就是外部端口组的 IP

我在 DNAT 添加了如下一条规则：

把内部的192.168.10.1的端口443映射成了外部192.168.10.150的8443端口。

然后，我在192.168.10.0/24的网段访问

https://192.168.10.150:8443/admin 的URL，是可以进入View的管理界面的。

输入用户名密码登陆，登陆成功。

也可以使用View Client进行访问。不过需要把端口相对应的进行更改。（如何要访问到虚拟桌面，则要映射4172的UDP和TCP端口）

访问成功

（ 2 ） DNAT 的 IP 映射。

同样在 DNAT 里面添加如下一条规则。

把内部的 192.168.1.10. 映射成外部的 192.168.10.165

然后，我在192.168.10.0/24的网段访问访问

https://192.168.10.165/admin 一样是可以访问成功的。

同样的 View Client 也是可以访问成功的。

这时候可以再看看vShield Edge这台虚拟机，是会多出一个DNAT IP地址的。可以看到多出了192.168.10.165的IP。

总结

在结合VMware View的时候也可以做一下更深入的测试，比如可以模拟一下View的连接服务器配置View的安全网关映射出外网等功能。

也可以测试一下vShield Edge的负载均衡功能，可以使用View的标准连接服务器和副本服务器模拟环境来进行测试。

另外vShield是支持vSphere的HA功能，而且可以根据虚拟机端口组的逻辑分组来定义防火墙策略等，而不用去考虑虚拟机所在的主机位置，十分灵活。

纠结。。。。。。

本文出自 “门的另一边” 博客，转载请与作者联系！

另外就是发图片的博文只能一张一张上传图片？