Zones1.0
CN-000166-00
快速入门指南
您可以在VMware网站上找到最新的技术文档,网址为:/support/此外,VMware网站还提供最新的产品更新。
如果对本文档有任何意见或建议,请将反馈信息提交至以下地址:docfeedback@ ©2009VMware,Inc.保留所有权利。
此产品受到美国和国际版权法及知识产权法保护。
VMware产品涉及/go/patents中列出的一项或多项专利。
VMware、VMware“箱状”徽标及设计、VirtualSMP和VMotion均为VMware,Inc.在美国和/或其他法律辖区的注册商标或商标。
此处提到的所有其他商标和名称分别是其各自公司的商标。
VMware,Inc.3401HillviewAve.PaloAlto,CA94304
2 VMware,Inc. 目录 关于本文档
5 安装vShieldZones7 要求7vShieldZones组件7安装vShieldZones之前评估ESX网络配置8安装vShieldZones8 获得vShieldZones虚拟设备8使用vSphereClient将vShieldManager作为虚拟机安装8安装vShieldImage并将其转换成模板9登录vShieldManager用户界面以配置系统10添加vShield10启用持续发现以标识客户虚拟机流量11vShields的其他vCenter配置12关闭vShieldZones虚拟机13vShield自动安装概览13了解从vShield安装创建的端口组14 VMware,Inc.
3 快速入门指南
4 VMware,Inc. 关于本文档 快速入门指南提供有关将vShieldZones安装到VMware®VirtualInfrastructure环境中的信息。
目标读者 本文档是为需要安装或使用vShieldZones的人提供的。
本文档的目标读者是熟悉虚拟机技术和数据中心操作且具有丰富经验的Windows或Linux系统管理员。
此外,本文档假设读者熟悉VMwareVirtualInfrastructure,包括vCenterServer4.0、VMwareESX4.0和vSphereClient。
文档反馈 VMware欢迎您提出宝贵建议,以便改进我们的文档。
如有任何意见或建议,请将反馈发送到docfeedback@。
VMwareInfrastructure文档 vShieldZones文档集包括下列文档:《vShieldZones管理指南》《vShieldZones快速入门指南》《vShieldZones简介》此外,您还应该了解vCenterServer和ESX文档集。
技术支持和教育资源 下列各节介绍为您提供的技术支持资源。
请通过下列网站访问本文档和其他文档的最新版本:/support/pubs。
在线支持和电话支持 要通过在线支持提交技术支持请求、查看产品和合同信息以及注册您的产品,请访问/support。
客户只要拥有相应的支持合同,就可以通过电话支持,尽快获得对优先级高的问题的答复。
请访问/support/phone_support。
支持服务项目 要了解VMware支持服务如何帮助您满足业务需求,请访问/support/services。
VMware,Inc.
5 快速入门指南 VMware专业服务 VMware教育服务课程提供了大量实践操作环境、案例研究示例,以及用作作业参考工具的课程材料。
这些课程可以通过现场指导、教室授课的方式学习,也可以通过在线直播的方式学习。
关于现场试点项目及实施的最佳实践,VMware咨询服务可提供多种服务,协助您评估、计划、构建和管理虚拟环境。
要了解有关教育课程、认证计划和咨询服务的信息,请访问/services。
6 VMware,Inc. 安装vShieldZones vShieldZones提供防火墙保护和流量分析来保护VMwarevCenterServer虚拟基础架构。
已对大多数虚拟数据中心自动执行vShieldZones虚拟设备安装。
本章包含下列主题:“要求”(第7页)“vShieldZones组件”(第7页)“安装vShieldZones之前评估ESX网络配置”(第8页)“安装vShieldZones”(第8页)“vShields的其他vCenter配置”(第12页)“关闭vShieldZones虚拟机”(第13页)“vShield自动安装概览”(第13页)“了解从vShield安装创建的端口组”(第14页) 要求 在安装vShieldZones之前,您必须具备以下条件:运行vCenterServer4.0或更高版本的系统至少一个安装了ESX4.0且正常运转的系统一台使用vSphereClient的个人计算机添加和启动虚拟机的权限对存储虚拟机文件的数据存储的访问权限,以及将文件复制到该数据存储的帐户权限vShieldManager和vShieldOVF文件供安装的每个vShield实例的管理接口使用的静态IP地址供vShieldManager管理接口使用的单一静态IP地址在Web浏览器中启用Cookies以访问vShieldManager用户界面 vShieldZones组件 vShieldZones解决方案包括下列组件: vShieldManager:管理所有分布式vShield实例的vShieldZones管理中心。
为监控、配置vShield及对其进行软件更新而提供。
vShield:vShieldZones的活动安全组件,该组件检查流量并提供防火墙保护。
在每台要保护的ESX主机上安装vShield。
在流量路径内安装vShield以监控所有流入和流出ESX主机的流量,以及主机上虚拟机之间的流量。
VMware,Inc.
7 快速入门指南 安装vShieldZones之前评估ESX网络配置 在vCenterServer环境中安装vShieldZones之前,请考虑ESX主机的网络配置。
作为最低要求,每台主机需至少包含一个关联的物理网卡和一个vSwitch,用于承载VMKernel、服务控制台和虚拟机。
在更稳定的环境中,ESX主机可能具有多个专用物理网卡和多个vSwitch,以将VMKernel和服务控制台与虚拟机分隔开。
vShieldZones设备作为虚拟机安装在ESX主机上。
但是,安装vShield需要进行规划。
可以在任何具有专用网卡的vSwitch上安装vShield。
vShield安装将虚拟机从其原始vSwitch移动到克隆的vSwitch。
vShield随后在原始vSwitch和克隆的vSwitch之间安装,以捕获进出虚拟机的所有流量。
原始vSwitch保留该网卡,但新vSwitch与网卡无关联。
因此,如果您的ESX主机带有多个承载多个虚拟机的vSwitch,则每个vSwitch都需要有一个vShield。
任何连接到未安装vShield的vSwitch的虚拟机都不受vShieldZones保护。
通过安装vShieldOVF,然后将原始vShield虚拟机部署为模板,简化了多个vShield的安装。
此模板由vShieldManager引用,允许您将多个vShield从vShieldManager用户界面安装到vCenterServer环境。
有关vShield安装过程的详细信息,请参见“vShield自动安装概览”(第13页)。
请注意构建vShieldZones系统是为了保护虚拟机,而不是为了保护VMKernel或服务控制台。
安装vShieldZones vShieldZones安装是多步骤过程。
依次执行下列任务以成功完成vShieldZones安装。
获得vShieldZones虚拟设备 vShieldZones虚拟设备是使用开放虚拟化格式(OVF)打包而成的。
这种打包方式允许您使用vSphereClient将虚拟设备导入数据存储和虚拟机清单中,因而简化了安装。
请联系您的VMware客户团队以获取vShieldZones软件包,此软件包包含一个vShieldManager和一个vShield。
一个vShield虚拟设备可用于多个vShield安装。
获取软件包后,将其下载到安装了vSphereClient的个人计算机上。
使用vSphereClient将vShieldManager作为虚拟机安装 vShieldManager虚拟机安装需要为vShieldManager创建端口组。
将vShieldManager作为虚拟机添加到您的vCenterServer清单中 1登录vSphereClient。
2在清单面板中选择ESX主机。
3转到[File]>[DeployOVFTemplate]。
此时将打开“部署OVF模板”向导。
4单击[Deployfromfile],然后单击[Browse]找到个人计算机中包含vShieldManagerOVF文件的文件夹。
5完成此向导。
此时vShieldManager即安装到清单中。
6在安装了vShieldManager的ESX主机上为vShieldManager创建名为[vsmgmt]的端口组。
每个已安装的vShield都能识别此端口组名称,该名称可在vShield安装期间阻止vShield移动vShieldManager虚拟机。
7编辑vShieldManager虚拟机的设置以在启动时连接并为vsmgmt端口组设置网络标签。
a右键单击vShieldManager虚拟机并单击[EditSettings]。
此时将打开“vShieldManager-虚拟机属性”对话框。
b在[Hardware]选项卡下,单击[NetworkAdapter1]。
c在“设备状态”下,选择[Connectatpoweron]。
8 VMware,Inc. 安装vShieldZones d在[Networklabel]下拉列表中选择[vsmgmt]。
e单击[OK]关闭该窗口。
8启动vShieldManager虚拟机。
9单击右窗格中的[Console]选项卡打开vShieldManagerCLI。
引导过程可能需要几分钟时间。
10出现[managerlogin]提示后,使用用户名[admin]和密码[default]登录CLI。
11运行[setup]命令启动CLI设置向导。
CLI设置向导会引导您完成为vShieldManager的管理接口分配IP地址并标识默认网络网关的过程。
管理接口的IP地址必须可以由所有已安装的vShield实例以及用于系统管理的Web浏览器访问。
manager>setup Usectrl-dtoabortconfigurationdialogatanyprompt.Defaultsettingsareinsquarebrackets'[]'. Hostname[manager]:IPAddress[10.115.216.66/255.255.255.0]:Defaultgateway[10.115.219.253]:Oldconfigurationwillbelost,andsystemneedstoberebootedDoyouwanttosavenewconfiguration(y/[n]):yPleaselogoutandlogbackinagain. 此时无需注销。
vShieldManager安装完成。
12对默认网关执行Ping命令以验证网络连接。
manager>ping10.115.219.253 13在个人计算机中,对vShieldManagerIP地址执行ping命令以验证IP地址是否可访问。
安装vShieldImage并将其转换成模板 将vShield作为虚拟机安装并将其转换成模板。
将vShield虚拟机转换成模板格式之后,vShieldManager可以引用该模板进行多个ESX实例上的vShield安装。
将vShield添加到vCenterServer并将其转换成模板1登录vSphereClient。
2在清单面板中选择ESX主机。
3转到[File]>[DeployOVFTemplate]。
此时将打开“部署OVF模板”向导。
4单击[Deployfromfile],然后单击[Browse]在客户端计算机上找到包含vShieldOVF文件的文件夹。
5完成此向导。
此时vShield已安装到清单中。
警告此时不要启动或编辑vShield虚拟机。
此时启动或编辑虚拟机可能会导致网络问题,例如无限循环。
6在向导完成安装之后,将vShield实例转换成虚拟机模板。
借助此模板,可以自动从vShieldManager用户界面安装多个vShield实例。
VMware,Inc.
9 快速入门指南 登录vShieldManager用户界面以配置系统 在安装vShieldManager虚拟设备并将vShieldImage转换成模板之后,请登录vShieldManager用户界面并将vShieldManager配置为使用vCenterServer进行身份验证。
此身份验证使vShieldManager可以显示您的vCenterServer清单、安装vShield实例并配置防火墙以保护您的资源。
登录vShieldManager用户界面 1打开Web浏览器窗口并键入分配给vShieldManager的IP地址。
必须将IP地址预置为支持https。
2接受安全证书。
此时将显示vShieldManager登录屏幕。
3使用用户名admin和密码default登录vShieldManager用户界面。
vShieldManager用户界面在右侧框中打开至[Configuration]>[vCenter]选项卡内容。
在初始登录时,vShieldManager中不显示任何信息,因为您尚未同步与vCenterServer的通信。
4按照如下方式完成[vCenter]选项卡表单: 字段[IPaddress/Name][UserName][Password] 操作键入vCenterServer的IP地址。
键入vSphereClient用户名。
键入与vSphereClient用户名关联的密码。
5单击[Commit]。
vShieldManager连接到vCenterServer,登录并访问VMwareVirtualInfrastructureSDK。
位于vShieldManager屏幕左侧的清单树应与vSphereClient[主机和群集]清单树视图匹配。
请注意vShieldManager不显示在vShieldZones清单面板中。
[Settings&Reports]对象代表清单面板中的vShieldManager。
添加vShield 您可以通过从vShield模板创建副本将vShield添加到vCenterServer和vShieldZones清单中。
您应该为每个带有附加网卡的vSwitch安装一个vShield实例。
任何连接到未安装vShield的vSwitch的虚拟机均不受vShieldZones保护。
请注意要在vNetwork分布式交换机(vNDS)上安装vShield,请参见《vShieldZones管理指南》。
添加vShield1登录vShieldManager。
2在清单树中,单击要保护的ESX主机。
3单击显示在右侧框上方的[InstallvShield]选项卡。
4单击[Configureinstallparameters]。
10 VMware,Inc. 安装vShieldZones 5按照如下方式完成该表单: 字段[SelectfromavailablevShields] [Selecttemplatetoclone][Selectadatastoretoplaceclone][Enteranamefortheclone] [SpecifyIPAddressofvShieldVM][SpecifyIPMaskforvShield][SpecifyIPAddressofDefaultGatewayforvShield][SpecifySecureKeyforvShield](默认情况下留空) [SelectavSwitchtoshield] 操作 将此字段留空。
仅当在没有已建立的模板的情况下添加vShield时才使用此字段。
单击此下拉菜单并选择vShield模板。
单击此下拉菜单并选择要存储vShield副本的数据存储。
键入vShield副本的唯一名称。
此名称将显示在vSphereClient清单和vShieldManager清单中。
键入要分配到vShield的管理端口的IP地址。
键入与分配的IP地址关联的IP子网掩码。
键入默认网络网关的IP地址。
(可选)键入用于确保在vShield和vShieldManager之间进行安全通信的密钥。
默认情况下,此字段中的此条目处于屏蔽状态。
此默认种子用于加密vShield和vShieldManager之间的通信。
这些密钥不在网络上共享。
单击下拉菜单选择要保护的vSwitch。
符合保护条件的vSwitch在随附表中突出显示为绿色。
6单击[Continue](位于表单上方)。
此时将显示[InstallationSummary]屏幕。
此屏幕显示于在ESX上安装vShield的示例图之前或之后。
请注意示例图是静态的,不直接反映虚拟网络。
屏幕右侧编号的安装脚本详细介绍了实际安装步骤。
7单击[Install]。
您可以按位于vSphereClient窗口底部的[RecentTasks]状态窗格中的vShield安装步骤执行安装。
有关安装过程的详细信息,请参见“vShield自动安装概览”(第13页)。
此时vShield安装完成。
8在安装完成后,打开vSphereClient。
9在清单中找到该vShield。
注意它处于已启动状态。
启用持续发现以标识客户虚拟机流量 在安装了vShieldManager和vShield,并且vShield与vShieldManager进行通信之后,您必须为vShield启用持续发现操作以保护虚拟机。
启用对虚拟机流量的持续发现1登录vShieldManager。
2从清单树单击vShield实例。
3单击[VMDiscovery]选项卡。
4单击[Automated]副标题。
5在[ScheduledDiscoveryStatus]下拉菜单中,选择[Continuous]。
不要填写表单中的其他字段。
6单击[OK]。
发现操作开始。
发现持续运行,并根据应用程序和协议规范标识流量。
7转到[VMDiscovery]>[Results]以查看发现输出。
发现的流量由虚拟机IP地址分隔。
每个发现的虚拟机都保存在[VMInventory]选项卡下,可以在vShieldManager中以数据中心、群集容器级别以及虚拟机级别使用。
VMware,Inc. 11 快速入门指南 vShields的其他vCenter配置 如果启用了VMwareHA或VMwareDRS功能,则必须禁止vShieldZones虚拟设备进行移动。
必须在安装每个vShieldZones组件之后执行此操作。
您可以使用VMotion迁移vShieldManager虚拟设备,不会产生不良影响。
禁止VMwareHA或VMwareDRS移动vShieldZones虚拟设备 1登录vSphereClient。
2右键单击包含vShieldZones虚拟设备的群集并单击[EditProperties]。
此时将打开“管理设置”对话框。
3在VMwareHA下,单击[VirtualMachineOptions]。
在列表中找到vShieldManager和vShield。
4对于每个vShieldZones虚拟设备,选择下列值: [VMRestartPriority]:[Disabled][HostIsolationResponse]:[LeaveVMpoweredon] 5如果已经启用了DRS,请单击VMwareDRS下的[VirtualMachineOptions]。
在列表中找到vShieldManager和vShield。
6对于每个vShieldZones虚拟设备,为[AutomationLevel]选择Disabled。
7在配置所有的vShieldZones虚拟设备之后,单击[OK]。
在默认操作中,在操作员或VMotion尝试迁移虚拟机期间vShield会引发错误。
该错误提示服务器连接到了虚拟。
虚拟是虚拟机连接到的网络,位于vShield的保护端的vSwitch上。
此vSwitch不带有物理网卡。
vShield将流量桥接到连接到物理网卡的网络的非保护端。
启用VMotion以禁用虚拟检查 1在运行vCenterServer的计算机上找到vpxd.cfg文件。
默认情况下,此文件安装在C:\DocumentsandSettings\AllUsers\ApplicationData\VMware\VMwarevCenterServer。
2在文本编辑器中编辑该vpxd.cfg文件。
将以下各行添加为config节的子级别,使它们与vpxd节的级别相同。
<>false
4重新启动VMwarevCenterServer服务。
您可以通过转到[ControlPanel]>[AdministrativeTools]> [Services]来访问该服务菜单。
要进一步配置vShieldZones,请参见《vShieldZones管理指南》。
12 VMware,Inc. 安装vShieldZones 关闭vShieldZones虚拟机 您可以随时关闭vShieldZones虚拟机。
在关闭vShieldZones虚拟机后,当再次启动该虚拟机时将使用上次保存的配置。
关闭vShieldZones虚拟机 1在vSphereClient中,从清单面板中选择vShieldZones虚拟机。
2单击[Console]选项卡打开vShieldZonesCLI。
3登录CLI。
4在登录后,键入enable以进入特权模式。
5键入shutdown。
6当关闭CLI后,在清单面板上右键单击虚拟机并选择[Power]>[PowerOff]。
vShield自动安装概览 当从引用的模板中进行安装时,vShield安装过程执行下列步骤:1创建vSwitch主机的副本。
此vSwitch副本不包含网卡。
vSwitch副本的名称由vSwitch主机的名称加上_VS构成:vSwitch1_VS。
2创建一个受保护的区域端口组VSprot_vShield-name,并将该端口组附加到vSwitch主机。
3在vShield实例的管理接口的vSwitch主机上创建一个管理端口组VSmgmt_vShield-name。
4创建一个不受保护的区域端口组VSunprot_vShield-name,并将该端口组附加到vSwitch副本。
重要信息不要将虚拟机添加到受保护的端口组或不受保护的端口组。
这些端口组配置为启用杂乱模式,该模式允许vShield查看所有通过的流量。
5连接并启动vShield实例。
6将vShield上的虚拟接口附加到受保护的端口组和不受保护的端口组。
7将虚拟机从vSwitch主机移动到vSwitch副本。
如果vShieldManager虚拟机位于同一vSwitch上,则不进行移动。
在vShieldManager安装期间,创建用于放置vShieldManager的名为[vsmgmt]的端口组。
vShield安装识别此端口组名称并忽略此端口组中的任何虚拟机。
图
1.在vSwitch上安装vShield ESX ߍᣓݢज vSwitch0 VMkernel vSwitch1 vShield vSwitch1_VS 㮆᠋ᱦ㮆᠋ᱦ VMware,Inc. 13 快速入门指南 了解从vShield安装创建的端口组 vShield安装需要创建两个端口组。
这些端口组分隔信任区域:不受保护区域和受保护区域。
不受保护区域监控入站流量,而受保护区域监控出站流量。
每个端口组承载一个vShield接口:U0适用于不受保护区域,P0适用于受保护区域。
通过将这些接口连接到创建的端口组,vShield可以监控所有入站和出站流量。
将不受保护端口组和受保护端口组配置为启用杂乱模式。
在杂乱模式中,客户机适配器可以侦听所有通过的数据包。
在非杂乱模式中,客户机适配器将仅侦听其自身MAC地址上的流量。
默认情况下,客户机适配器设置为非杂乱模式。
为保护起见,vShield必须可以查看所有通过的流量。
不要将任何其他虚拟机添加到这些端口组。
14 VMware,Inc.
如果对本文档有任何意见或建议,请将反馈信息提交至以下地址:docfeedback@ ©2009VMware,Inc.保留所有权利。
此产品受到美国和国际版权法及知识产权法保护。
VMware产品涉及/go/patents中列出的一项或多项专利。
VMware、VMware“箱状”徽标及设计、VirtualSMP和VMotion均为VMware,Inc.在美国和/或其他法律辖区的注册商标或商标。
此处提到的所有其他商标和名称分别是其各自公司的商标。
VMware,Inc.3401HillviewAve.PaloAlto,CA94304
2 VMware,Inc. 目录 关于本文档
5 安装vShieldZones7 要求7vShieldZones组件7安装vShieldZones之前评估ESX网络配置8安装vShieldZones8 获得vShieldZones虚拟设备8使用vSphereClient将vShieldManager作为虚拟机安装8安装vShieldImage并将其转换成模板9登录vShieldManager用户界面以配置系统10添加vShield10启用持续发现以标识客户虚拟机流量11vShields的其他vCenter配置12关闭vShieldZones虚拟机13vShield自动安装概览13了解从vShield安装创建的端口组14 VMware,Inc.
3 快速入门指南
4 VMware,Inc. 关于本文档 快速入门指南提供有关将vShieldZones安装到VMware®VirtualInfrastructure环境中的信息。
目标读者 本文档是为需要安装或使用vShieldZones的人提供的。
本文档的目标读者是熟悉虚拟机技术和数据中心操作且具有丰富经验的Windows或Linux系统管理员。
此外,本文档假设读者熟悉VMwareVirtualInfrastructure,包括vCenterServer4.0、VMwareESX4.0和vSphereClient。
文档反馈 VMware欢迎您提出宝贵建议,以便改进我们的文档。
如有任何意见或建议,请将反馈发送到docfeedback@。
VMwareInfrastructure文档 vShieldZones文档集包括下列文档:《vShieldZones管理指南》《vShieldZones快速入门指南》《vShieldZones简介》此外,您还应该了解vCenterServer和ESX文档集。
技术支持和教育资源 下列各节介绍为您提供的技术支持资源。
请通过下列网站访问本文档和其他文档的最新版本:/support/pubs。
在线支持和电话支持 要通过在线支持提交技术支持请求、查看产品和合同信息以及注册您的产品,请访问/support。
客户只要拥有相应的支持合同,就可以通过电话支持,尽快获得对优先级高的问题的答复。
请访问/support/phone_support。
支持服务项目 要了解VMware支持服务如何帮助您满足业务需求,请访问/support/services。
VMware,Inc.
5 快速入门指南 VMware专业服务 VMware教育服务课程提供了大量实践操作环境、案例研究示例,以及用作作业参考工具的课程材料。
这些课程可以通过现场指导、教室授课的方式学习,也可以通过在线直播的方式学习。
关于现场试点项目及实施的最佳实践,VMware咨询服务可提供多种服务,协助您评估、计划、构建和管理虚拟环境。
要了解有关教育课程、认证计划和咨询服务的信息,请访问/services。
6 VMware,Inc. 安装vShieldZones vShieldZones提供防火墙保护和流量分析来保护VMwarevCenterServer虚拟基础架构。
已对大多数虚拟数据中心自动执行vShieldZones虚拟设备安装。
本章包含下列主题:“要求”(第7页)“vShieldZones组件”(第7页)“安装vShieldZones之前评估ESX网络配置”(第8页)“安装vShieldZones”(第8页)“vShields的其他vCenter配置”(第12页)“关闭vShieldZones虚拟机”(第13页)“vShield自动安装概览”(第13页)“了解从vShield安装创建的端口组”(第14页) 要求 在安装vShieldZones之前,您必须具备以下条件:运行vCenterServer4.0或更高版本的系统至少一个安装了ESX4.0且正常运转的系统一台使用vSphereClient的个人计算机添加和启动虚拟机的权限对存储虚拟机文件的数据存储的访问权限,以及将文件复制到该数据存储的帐户权限vShieldManager和vShieldOVF文件供安装的每个vShield实例的管理接口使用的静态IP地址供vShieldManager管理接口使用的单一静态IP地址在Web浏览器中启用Cookies以访问vShieldManager用户界面 vShieldZones组件 vShieldZones解决方案包括下列组件: vShieldManager:管理所有分布式vShield实例的vShieldZones管理中心。
为监控、配置vShield及对其进行软件更新而提供。
vShield:vShieldZones的活动安全组件,该组件检查流量并提供防火墙保护。
在每台要保护的ESX主机上安装vShield。
在流量路径内安装vShield以监控所有流入和流出ESX主机的流量,以及主机上虚拟机之间的流量。
VMware,Inc.
7 快速入门指南 安装vShieldZones之前评估ESX网络配置 在vCenterServer环境中安装vShieldZones之前,请考虑ESX主机的网络配置。
作为最低要求,每台主机需至少包含一个关联的物理网卡和一个vSwitch,用于承载VMKernel、服务控制台和虚拟机。
在更稳定的环境中,ESX主机可能具有多个专用物理网卡和多个vSwitch,以将VMKernel和服务控制台与虚拟机分隔开。
vShieldZones设备作为虚拟机安装在ESX主机上。
但是,安装vShield需要进行规划。
可以在任何具有专用网卡的vSwitch上安装vShield。
vShield安装将虚拟机从其原始vSwitch移动到克隆的vSwitch。
vShield随后在原始vSwitch和克隆的vSwitch之间安装,以捕获进出虚拟机的所有流量。
原始vSwitch保留该网卡,但新vSwitch与网卡无关联。
因此,如果您的ESX主机带有多个承载多个虚拟机的vSwitch,则每个vSwitch都需要有一个vShield。
任何连接到未安装vShield的vSwitch的虚拟机都不受vShieldZones保护。
通过安装vShieldOVF,然后将原始vShield虚拟机部署为模板,简化了多个vShield的安装。
此模板由vShieldManager引用,允许您将多个vShield从vShieldManager用户界面安装到vCenterServer环境。
有关vShield安装过程的详细信息,请参见“vShield自动安装概览”(第13页)。
请注意构建vShieldZones系统是为了保护虚拟机,而不是为了保护VMKernel或服务控制台。
安装vShieldZones vShieldZones安装是多步骤过程。
依次执行下列任务以成功完成vShieldZones安装。
获得vShieldZones虚拟设备 vShieldZones虚拟设备是使用开放虚拟化格式(OVF)打包而成的。
这种打包方式允许您使用vSphereClient将虚拟设备导入数据存储和虚拟机清单中,因而简化了安装。
请联系您的VMware客户团队以获取vShieldZones软件包,此软件包包含一个vShieldManager和一个vShield。
一个vShield虚拟设备可用于多个vShield安装。
获取软件包后,将其下载到安装了vSphereClient的个人计算机上。
使用vSphereClient将vShieldManager作为虚拟机安装 vShieldManager虚拟机安装需要为vShieldManager创建端口组。
将vShieldManager作为虚拟机添加到您的vCenterServer清单中 1登录vSphereClient。
2在清单面板中选择ESX主机。
3转到[File]>[DeployOVFTemplate]。
此时将打开“部署OVF模板”向导。
4单击[Deployfromfile],然后单击[Browse]找到个人计算机中包含vShieldManagerOVF文件的文件夹。
5完成此向导。
此时vShieldManager即安装到清单中。
6在安装了vShieldManager的ESX主机上为vShieldManager创建名为[vsmgmt]的端口组。
每个已安装的vShield都能识别此端口组名称,该名称可在vShield安装期间阻止vShield移动vShieldManager虚拟机。
7编辑vShieldManager虚拟机的设置以在启动时连接并为vsmgmt端口组设置网络标签。
a右键单击vShieldManager虚拟机并单击[EditSettings]。
此时将打开“vShieldManager-虚拟机属性”对话框。
b在[Hardware]选项卡下,单击[NetworkAdapter1]。
c在“设备状态”下,选择[Connectatpoweron]。
8 VMware,Inc. 安装vShieldZones d在[Networklabel]下拉列表中选择[vsmgmt]。
e单击[OK]关闭该窗口。
8启动vShieldManager虚拟机。
9单击右窗格中的[Console]选项卡打开vShieldManagerCLI。
引导过程可能需要几分钟时间。
10出现[managerlogin]提示后,使用用户名[admin]和密码[default]登录CLI。
11运行[setup]命令启动CLI设置向导。
CLI设置向导会引导您完成为vShieldManager的管理接口分配IP地址并标识默认网络网关的过程。
管理接口的IP地址必须可以由所有已安装的vShield实例以及用于系统管理的Web浏览器访问。
manager>setup Usectrl-dtoabortconfigurationdialogatanyprompt.Defaultsettingsareinsquarebrackets'[]'. Hostname[manager]:IPAddress[10.115.216.66/255.255.255.0]:Defaultgateway[10.115.219.253]:Oldconfigurationwillbelost,andsystemneedstoberebootedDoyouwanttosavenewconfiguration(y/[n]):yPleaselogoutandlogbackinagain. 此时无需注销。
vShieldManager安装完成。
12对默认网关执行Ping命令以验证网络连接。
manager>ping10.115.219.253 13在个人计算机中,对vShieldManagerIP地址执行ping命令以验证IP地址是否可访问。
安装vShieldImage并将其转换成模板 将vShield作为虚拟机安装并将其转换成模板。
将vShield虚拟机转换成模板格式之后,vShieldManager可以引用该模板进行多个ESX实例上的vShield安装。
将vShield添加到vCenterServer并将其转换成模板1登录vSphereClient。
2在清单面板中选择ESX主机。
3转到[File]>[DeployOVFTemplate]。
此时将打开“部署OVF模板”向导。
4单击[Deployfromfile],然后单击[Browse]在客户端计算机上找到包含vShieldOVF文件的文件夹。
5完成此向导。
此时vShield已安装到清单中。
警告此时不要启动或编辑vShield虚拟机。
此时启动或编辑虚拟机可能会导致网络问题,例如无限循环。
6在向导完成安装之后,将vShield实例转换成虚拟机模板。
借助此模板,可以自动从vShieldManager用户界面安装多个vShield实例。
VMware,Inc.
9 快速入门指南 登录vShieldManager用户界面以配置系统 在安装vShieldManager虚拟设备并将vShieldImage转换成模板之后,请登录vShieldManager用户界面并将vShieldManager配置为使用vCenterServer进行身份验证。
此身份验证使vShieldManager可以显示您的vCenterServer清单、安装vShield实例并配置防火墙以保护您的资源。
登录vShieldManager用户界面 1打开Web浏览器窗口并键入分配给vShieldManager的IP地址。
必须将IP地址预置为支持https。
2接受安全证书。
此时将显示vShieldManager登录屏幕。
3使用用户名admin和密码default登录vShieldManager用户界面。
vShieldManager用户界面在右侧框中打开至[Configuration]>[vCenter]选项卡内容。
在初始登录时,vShieldManager中不显示任何信息,因为您尚未同步与vCenterServer的通信。
4按照如下方式完成[vCenter]选项卡表单: 字段[IPaddress/Name][UserName][Password] 操作键入vCenterServer的IP地址。
键入vSphereClient用户名。
键入与vSphereClient用户名关联的密码。
5单击[Commit]。
vShieldManager连接到vCenterServer,登录并访问VMwareVirtualInfrastructureSDK。
位于vShieldManager屏幕左侧的清单树应与vSphereClient[主机和群集]清单树视图匹配。
请注意vShieldManager不显示在vShieldZones清单面板中。
[Settings&Reports]对象代表清单面板中的vShieldManager。
添加vShield 您可以通过从vShield模板创建副本将vShield添加到vCenterServer和vShieldZones清单中。
您应该为每个带有附加网卡的vSwitch安装一个vShield实例。
任何连接到未安装vShield的vSwitch的虚拟机均不受vShieldZones保护。
请注意要在vNetwork分布式交换机(vNDS)上安装vShield,请参见《vShieldZones管理指南》。
添加vShield1登录vShieldManager。
2在清单树中,单击要保护的ESX主机。
3单击显示在右侧框上方的[InstallvShield]选项卡。
4单击[Configureinstallparameters]。
10 VMware,Inc. 安装vShieldZones 5按照如下方式完成该表单: 字段[SelectfromavailablevShields] [Selecttemplatetoclone][Selectadatastoretoplaceclone][Enteranamefortheclone] [SpecifyIPAddressofvShieldVM][SpecifyIPMaskforvShield][SpecifyIPAddressofDefaultGatewayforvShield][SpecifySecureKeyforvShield](默认情况下留空) [SelectavSwitchtoshield] 操作 将此字段留空。
仅当在没有已建立的模板的情况下添加vShield时才使用此字段。
单击此下拉菜单并选择vShield模板。
单击此下拉菜单并选择要存储vShield副本的数据存储。
键入vShield副本的唯一名称。
此名称将显示在vSphereClient清单和vShieldManager清单中。
键入要分配到vShield的管理端口的IP地址。
键入与分配的IP地址关联的IP子网掩码。
键入默认网络网关的IP地址。
(可选)键入用于确保在vShield和vShieldManager之间进行安全通信的密钥。
默认情况下,此字段中的此条目处于屏蔽状态。
此默认种子用于加密vShield和vShieldManager之间的通信。
这些密钥不在网络上共享。
单击下拉菜单选择要保护的vSwitch。
符合保护条件的vSwitch在随附表中突出显示为绿色。
6单击[Continue](位于表单上方)。
此时将显示[InstallationSummary]屏幕。
此屏幕显示于在ESX上安装vShield的示例图之前或之后。
请注意示例图是静态的,不直接反映虚拟网络。
屏幕右侧编号的安装脚本详细介绍了实际安装步骤。
7单击[Install]。
您可以按位于vSphereClient窗口底部的[RecentTasks]状态窗格中的vShield安装步骤执行安装。
有关安装过程的详细信息,请参见“vShield自动安装概览”(第13页)。
此时vShield安装完成。
8在安装完成后,打开vSphereClient。
9在清单中找到该vShield。
注意它处于已启动状态。
启用持续发现以标识客户虚拟机流量 在安装了vShieldManager和vShield,并且vShield与vShieldManager进行通信之后,您必须为vShield启用持续发现操作以保护虚拟机。
启用对虚拟机流量的持续发现1登录vShieldManager。
2从清单树单击vShield实例。
3单击[VMDiscovery]选项卡。
4单击[Automated]副标题。
5在[ScheduledDiscoveryStatus]下拉菜单中,选择[Continuous]。
不要填写表单中的其他字段。
6单击[OK]。
发现操作开始。
发现持续运行,并根据应用程序和协议规范标识流量。
7转到[VMDiscovery]>[Results]以查看发现输出。
发现的流量由虚拟机IP地址分隔。
每个发现的虚拟机都保存在[VMInventory]选项卡下,可以在vShieldManager中以数据中心、群集容器级别以及虚拟机级别使用。
VMware,Inc. 11 快速入门指南 vShields的其他vCenter配置 如果启用了VMwareHA或VMwareDRS功能,则必须禁止vShieldZones虚拟设备进行移动。
必须在安装每个vShieldZones组件之后执行此操作。
您可以使用VMotion迁移vShieldManager虚拟设备,不会产生不良影响。
禁止VMwareHA或VMwareDRS移动vShieldZones虚拟设备 1登录vSphereClient。
2右键单击包含vShieldZones虚拟设备的群集并单击[EditProperties]。
此时将打开“管理设置”对话框。
3在VMwareHA下,单击[VirtualMachineOptions]。
在列表中找到vShieldManager和vShield。
4对于每个vShieldZones虚拟设备,选择下列值: [VMRestartPriority]:[Disabled][HostIsolationResponse]:[LeaveVMpoweredon] 5如果已经启用了DRS,请单击VMwareDRS下的[VirtualMachineOptions]。
在列表中找到vShieldManager和vShield。
6对于每个vShieldZones虚拟设备,为[AutomationLevel]选择Disabled。
7在配置所有的vShieldZones虚拟设备之后,单击[OK]。
在默认操作中,在操作员或VMotion尝试迁移虚拟机期间vShield会引发错误。
该错误提示服务器连接到了虚拟。
虚拟是虚拟机连接到的网络,位于vShield的保护端的vSwitch上。
此vSwitch不带有物理网卡。
vShield将流量桥接到连接到物理网卡的网络的非保护端。
启用VMotion以禁用虚拟检查 1在运行vCenterServer的计算机上找到vpxd.cfg文件。
默认情况下,此文件安装在C:\DocumentsandSettings\AllUsers\ApplicationData\VMware\VMwarevCenterServer。
2在文本编辑器中编辑该vpxd.cfg文件。
将以下各行添加为config节的子级别,使它们与vpxd节的级别相同。
4重新启动VMwarevCenterServer服务。
您可以通过转到[ControlPanel]>[AdministrativeTools]> [Services]来访问该服务菜单。
要进一步配置vShieldZones,请参见《vShieldZones管理指南》。
12 VMware,Inc. 安装vShieldZones 关闭vShieldZones虚拟机 您可以随时关闭vShieldZones虚拟机。
在关闭vShieldZones虚拟机后,当再次启动该虚拟机时将使用上次保存的配置。
关闭vShieldZones虚拟机 1在vSphereClient中,从清单面板中选择vShieldZones虚拟机。
2单击[Console]选项卡打开vShieldZonesCLI。
3登录CLI。
4在登录后,键入enable以进入特权模式。
5键入shutdown。
6当关闭CLI后,在清单面板上右键单击虚拟机并选择[Power]>[PowerOff]。
vShield自动安装概览 当从引用的模板中进行安装时,vShield安装过程执行下列步骤:1创建vSwitch主机的副本。
此vSwitch副本不包含网卡。
vSwitch副本的名称由vSwitch主机的名称加上_VS构成:vSwitch1_VS。
2创建一个受保护的区域端口组VSprot_vShield-name,并将该端口组附加到vSwitch主机。
3在vShield实例的管理接口的vSwitch主机上创建一个管理端口组VSmgmt_vShield-name。
4创建一个不受保护的区域端口组VSunprot_vShield-name,并将该端口组附加到vSwitch副本。
重要信息不要将虚拟机添加到受保护的端口组或不受保护的端口组。
这些端口组配置为启用杂乱模式,该模式允许vShield查看所有通过的流量。
5连接并启动vShield实例。
6将vShield上的虚拟接口附加到受保护的端口组和不受保护的端口组。
7将虚拟机从vSwitch主机移动到vSwitch副本。
如果vShieldManager虚拟机位于同一vSwitch上,则不进行移动。
在vShieldManager安装期间,创建用于放置vShieldManager的名为[vsmgmt]的端口组。
vShield安装识别此端口组名称并忽略此端口组中的任何虚拟机。
图
1.在vSwitch上安装vShield ESX ߍᣓݢज vSwitch0 VMkernel vSwitch1 vShield vSwitch1_VS 㮆᠋ᱦ㮆᠋ᱦ VMware,Inc. 13 快速入门指南 了解从vShield安装创建的端口组 vShield安装需要创建两个端口组。
这些端口组分隔信任区域:不受保护区域和受保护区域。
不受保护区域监控入站流量,而受保护区域监控出站流量。
每个端口组承载一个vShield接口:U0适用于不受保护区域,P0适用于受保护区域。
通过将这些接口连接到创建的端口组,vShield可以监控所有入站和出站流量。
将不受保护端口组和受保护端口组配置为启用杂乱模式。
在杂乱模式中,客户机适配器可以侦听所有通过的数据包。
在非杂乱模式中,客户机适配器将仅侦听其自身MAC地址上的流量。
默认情况下,客户机适配器设置为非杂乱模式。
为保护起见,vShield必须可以查看所有通过的流量。
不要将任何其他虚拟机添加到这些端口组。
14 VMware,Inc.
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。
