管理指南
vShieldManager5.5vShieldApp5.5vShieldEdge5.5
vShieldEndpoint5.5
在本文档被更新的版本替代之前,本文档支持列出的每个产品的版本和所有后续版本。
要查看本文档的更新版本,请访问/support/pubs。
ZH_CN-001280-01 vShield管理指南 最新的技术文档可以从VMware网站下载:/support/VMware网站还提供最近的产品更新信息。
您如果对本文档有任何意见或建议,请把反馈信息提交至:docfeedback@ 版权所有©2010–2013VMware,Inc.保留所有权利。
本产品受美国和国际版权及知识产权法的保护。
VMware产品受一项或多项专利保护,有关专利详情,请访问。
VMware是VMware,Inc.在美国和/或其他法律辖区的注册商标或商标。
此处提到的所有其他商标和名称分别是其各自公司的商标。
VMware,Inc.3401HillviewAve.PaloAlto,CA94304 北京办公室北京市海淀区科学院南路2号融科资讯中心C座南8层 上海办公室上海市浦东新区浦东南路999号新梅联合广场23楼 广州办公室广州市天河北路233号中信广场7401室
2 VMware,Inc. 目录 vShield管理指南7 1vShield概述
9 关于vShield组件9迁移vShield组件11关于vShield组件上的VMwareTools11vShield通信所需的端口11 2vShieldManager用户界面基础13 登录vShieldManager用户界面13关于vShieldManager用户界面13 3管理系统设置15 编辑DNS服务器15编辑vShieldManager日期和时间16编辑LookupService详细信息16编辑vCenterServer16指定Syslog服务器17下载vShield的技术支持日志17添加SSL证书以识别vShieldManagerWeb服务18向vShieldManager添加Cisco交换机19使用服务和服务组19分组对象22 4用户管理29 配置SingleSignOn29管理用户权限30管理默认用户帐户30添加用户帐户31编辑用户帐户33更改用户角色33禁用或启用用户帐户34删除用户帐户34 5更新系统软件35 查看当前系统软件35上载更新35 VMware,Inc.
3 vShield管理指南 6备份vShieldManager数据37 按需备份vShieldManager数据37调度vShieldManager数据的备份38还原备份38 7系统事件和审核日志41 查看系统事件报告41vShieldManager虚拟设备事件41vShieldApp事件42关于Syslog格式43查看审核日志43 8VXLAN虚拟线路管理45 为VXLAN虚拟线路准备网络46创建VXLAN虚拟线路47将虚拟机连接到VXLAN虚拟线路49测试VXLAN虚拟线路连接50查看VXLAN虚拟线路的FlowMonitoring数据51对VXLAN虚拟线路使用防火墙规则51避免VXLAN虚拟线路上出现欺骗行为51编辑网络范围51编辑VXLAN虚拟线路53创建VXLAN虚拟线路方案示例53 9vShieldEdge管理59 查看vShieldEdge的状态60配置vShieldEdge设置60管理设备60使用接口62使用证书65管理vShieldEdge防火墙68管理NAT规则73使用静态路由75管理DHCP服务76管理VPN服务78管理负载平衡器服务132关于高可用性137配置DNS服务器138配置远程Syslog服务器138更改CLI凭据139将vShieldEdge升级到大型或超大型139下载vShieldEdge的技术支持日志140将vShieldEdge与vShieldManager同步140重新部署vShieldEdge140
4 VMware,Inc. 目录 10服务插入管理143 插入网络服务143更改服务优先级146编辑ServiceManager146删除ServiceManager146编辑服务147删除服务147编辑服务配置文件147删除服务配置文件148 11vShieldApp管理149 将vShieldApp系统事件发送到Syslog服务器149查看vShieldApp的当前系统状态150重新启动vShieldApp150强制vShieldApp与vShieldManager同步150通过vShieldApp界面查看流量统计信息150下载vShieldApp的技术支持日志151为vShieldAppFirewall配置故障安全模式151从vShieldApp保护中排除虚拟机151 12vShieldAppFlowMonitoring153 查看FlowMonitoring数据153在FlowMonitoring报告中添加或编辑AppFirewall规则156更改FlowMonitoring图表的日期范围157 13vShieldAppFirewall管理159 使用AppFirewall159使用防火墙规则161使用SpoofGuard165 14vShieldEndpoint事件和警报169 查看vShieldEndpoint状态169vShieldEndpoint警报170vShieldEndpoint事件170vShieldEndpoint审核消息171 15vShieldDataSecurity管理173 vShieldDataSecurity用户角色173定义数据安全策略174编辑数据安全策略176运行数据安全扫描176查看和下载报告177创建正则表达式177适用法规178可用内容刀片191 VMware,Inc.
5 vShield管理指南 支持的文件格式210 16故障排除215 对vShieldManager安装进行故障排除215对操作问题进行故障排除216对vShieldEdge问题进行故障排除217对vShieldEndpoint问题进行故障排除219对vShieldDataSecurity问题进行故障排除220 索引223
6 VMware,Inc. vShield管理指南 《vShield管理指南》将介绍如何使用vShieldManager用户界面以及vSphereClient插件来安装、配置、监视和维护VMware®vShield™系统。
此信息包括分步配置说明以及推荐的最佳实践。
目标读者 本手册专供要在VMwarevCenter环境中安装或使用vShield的用户使用。
本手册的目标读者为熟悉虚拟机技术和虚拟数据中心操作且经验丰富的系统管理员。
本手册假设您熟悉VMwareInfrastructure5.x,包括VMwareESX、vCenterServer和vSphereClient。
VMware,Inc.
7 vShield管理指南
8 VMware,Inc. vShield概述
1 VMware®vShield是专为VMwarevCenterServer与VMwareESX集成而构建的安全虚拟设备套件。
vShield是保护虚拟化数据中心免遭攻击的关键安全组件,可帮助您实现合规性所要求的目标。
本指南假设您对整个vShield系统具有管理员访问权限。
根据分配给用户的角色、权限和许可,vShieldManager用户界面中的可查看资源会有所不同。
如果无法查看屏幕或执行特定任务,请咨询您的vShield管理员。
n关于vShield组件第9页,vShield包括对保护虚拟机至关重要的组件和服务。
可通过基于Web的用户界面、vSphereClient插件、命令行界面(CLI)和RESTAPI配置vShield。
n迁移vShield组件第11页,vShieldManager和vShieldEdge虚拟设备可根据DRS和HA策略自动或手动执行迁移。
vShieldManager必须始终运行,因此在当前ESX主机执行重新启动或维护模式例程时都必须迁移vShieldManager。
n关于vShield组件上的VMwareTools第11页,每个vShield虚拟设备都包含VMwareTools。
请勿升级或卸载vShield虚拟设备附带的VMwareTools版本。
nvShield通信所需的端口第11页, 关于vShield组件 vShield包括对保护虚拟机至关重要的组件和服务。
可通过基于Web的用户界面、vSphereClient插件、命令行界面(CLI)和RESTAPI配置vShield。
要运行vShield,您需要一个vShieldManager虚拟机以及至少一个vShieldApp或vShieldEdge模块。
vShieldManager vShieldManager是vShield的集中式网络管理组件,可使用vSphereClient将其作为虚拟机从OVA进行安装。
使用vShieldManager用户界面,管理员可以安装、配置和维护vShield组件。
vShieldManager可在与vShieldApp和vShieldEdge模块不同的ESX主机上运行。
vShieldManager利用VMwareInfrastructureSDK显示vSphereClient清单面板的副本。
有关使用vShieldManager用户界面的详细信息,请参见第13页,第2章“vShieldManager用户界面基础”。
VMware,Inc.
9 vShield管理指南 vShieldEdge vShieldEdge提供网络边缘安全和网关服务,用于隔离端口组、vDS端口组或Cisco®Nexus1000V中的虚拟机。
vShieldEdge通过提供DHCP、VPN、NAT和负载平衡等常见网关服务将隔离的末端网络连接到共享(上行链路)网络。
vShieldEdge通常部署在DMZ、VPN外联网和多租户云计算环境中,vShieldEdge在这些环境中为虚拟数据中心(VirtualDatacenter,VDC)提供外围安全保护。
注意您必须获取评估或完全许可证才能使用vShieldEdge。
标准vShieldEdge服务(包含vCloudDirector) 高级vShieldEdge服务 n防火墙:支持的规则包括IP5元组配置(包含用于TCP、UDP和ICMP状态监测的IP地址和端口范围)。
n网络地址转换:分别用于控制源IP地址和目标IP地址以及TCP和UDP端口转换的独立控制项。
n动态主机配置协议(DynamicHostConfigurationProtocol,DHCP):配置IP池、网关、DNS服务器和搜索域。
n配置DNS服务器,以转发来自客户端和syslog服务器的名称解析请求。
n数据包要遵循的静态路由。
n点对点虚拟专用网络(VirtualPrivateNetwork,VPN):使用标准化IPsec协议设置与所有主要防火墙供应商进行交互操作。
n负载平衡:简单动态地配置虚拟IP地址和服务器组。
n高可用性:确保vShieldEdge设备在虚拟化网络上始终可用。
nSSLVPN-Plus:允许远程用户安全地连接到位于vShieldEdge网关后面的专用网络。
vShieldEdge支持将所有服务的syslog导出到远程服务器。
vShieldApp vShieldApp是一种内部vNIC级第2层防火墙,允许您创建不受网络拓扑限制的访问控制策略和在同一个VLAN中实现网络隔离。
vShieldApp监视ESX主机的所有传入和传出流量,包括同一端口组中虚拟机之间的流量。
vShieldApp支持流量分析和创建基于容器的策略。
容器可以是动态或静态的vCenter构造,例如数据中心或在vShieldManager中定义的对象(如安全组、IPset或MACset)。
vShieldApp支持多租户。
vShieldApp作为虚拟化管理程序模块和防火墙服务虚拟设备安装。
vShieldApp通过VMsafeAPI与ESX主机集成,可与DRS、vMotion、DPM和维护模式等VMwarevSphere平台功能协同运行。
vShieldApp通过在每个虚拟网络适配器上放置一个防火墙筛选器为各个虚拟机提供防火墙保护。
规则可以包含多个源、目标和应用程序。
防火墙筛选器以透明方式运行,不需要变更网络或修改IP地址来创建安全区域。
您可以使用vCenter容器(如数据中心、群集、资源池和vApp)或网络对象(如端口组和VLAN)编写访问规则,减少防火墙规则的数量并使这些规则更易于跟踪。
应当在群集中的所有ESX主机上安装vShieldApp实例,这样VMwarevMotion™操作便可以正常运行,且虚拟机在ESX主机之间迁移时仍会受到保护。
默认情况下,使用vMotion无法移动vShieldApp虚拟设备。
流量监视功能会显示应用程序协议级别允许和阻止的网络流量。
您可以使用此类信息来审核网络流量和对操作问题进行故障排除。
注意您必须获取评估或完全许可证才能使用vShieldApp。
10 VMware,Inc. 章1vShield概述 vShieldEndpoint vShieldEndpoint可将防病毒和防恶意软件代理处理任务转移到VMware合作伙伴提供的专用安全虚拟设备上。
由于安全虚拟设备(与客户机虚拟机不同)不会脱机,因此可以不断地更新防病毒签名,从而为主机上的虚拟机提供持续保护。
另外,还可以在新虚拟机(或处于脱机状态的现有虚拟机)联机时,立即使用最新防病毒签名保护这些虚拟机。
vShieldEndpoint可作为虚拟化管理程序模块和来自第三方防病毒供应商(VMware合作伙伴)的安全虚拟设备安装在ESX主机上。
注意您必须获取评估或完全许可证才能使用vShieldEndpoint。
vShieldDataSecurity 可通过vShieldDataSecurity查看存储在组织的虚拟化环境和云环境中的敏感数据。
根据vShieldDataSecurity报告的冲突,您可以确保敏感数据受到充分保护,并且能评估与周围环境中的法规是否相符。
迁移vShield组件 vShieldManager和vShieldEdge虚拟设备可根据DRS和HA策略自动或手动执行迁移。
vShieldManager必须始终运行,因此在当前ESX主机执行重新启动或维护模式例程时都必须迁移vShieldManager。
每个vShieldEdge应该连同其数据中心一起移动,从而保持安全设置和服务。
vShieldApp、vShieldEndpoint合作伙伴设备或vShieldDataSecurity不能移至其他ESX主机。
如果这些组件所驻留的ESX主机需要执行手动维护模式操作,则必须取消选中Movepoweredoffandsuspendedvirtualmachinestootherhostsinthecluster复选框,以确保这些虚拟设备不进行迁移。
这些服务会在ESX主机联机后重新启动。
关于vShield组件上的VMwareTools 每个vShield虚拟设备都包含VMwareTools。
请勿升级或卸载vShield虚拟设备附带的VMwareTools版本。
vShield通信所需的端口 vShield要求打开以下端口:n要部署的ESX主机、vCenterServer和vShield设备上的vShieldManager端口443nvShieldManager和vShieldApp之间用于时间同步的UDP123n来往于vCenterClient和ESX主机的902/TCP和903/TCPn用于使用RESTAPI调用的从REST客户端到vShieldManager的443/TCPn从80/TCP到443/TCP,用于使用vShieldManager用户界面并启动与vSphereSDK的连接n22/TCP,用于CLI故障排除 VMware,Inc. 11 vShield管理指南 12 VMware,Inc. vShieldManager用户界面基础
2 vShieldManager用户界面提供了专用于vShield的配置和数据查看选项。
vShieldManager利用VMwareInfrastructureSDK显示vSphereClient清单面板,以此提供vCenter环境的完整视图。
注意您可将vShieldManager注册为vSphereClient插件。
这样便可以在vSphereClient内配置vShield组件。
请参见《vShield安装和升级指南》中的“设置vShieldManager”。
n登录vShieldManager用户界面第13页,使用Web浏览器访问vShieldManager管理界面。
n关于vShieldManager用户界面第13页,vShieldManager用户界面可划分成两个面板:清单面板和配置面板。
从清单面板选择视图和资源,以在配置面板中打开可用详细信息和配置选项。
登录vShieldManager用户界面 使用Web浏览器访问vShieldManager管理界面。
步骤1打开Web浏览器窗口并键入分配给vShieldManager的IP地址。
vShieldManager用户界面将在SSL/HTTPS会话中打开(或者打开一个安全SSL会话)。
2接受安全证书。
注意建议使用SSL证书对vShieldManager进行验证。
请参见第18页,“添加SSL证书以识别vShieldManagerWeb服务”。
此时将显示vShieldManager登录屏幕。
3使用用户名admin和密码default登录vShieldManager用户界面。
应首先更改默认密码,以防止未授权的使用。
请参见第33页,“编辑用户帐户”。
4单击LogIn。
关于vShieldManager用户界面 vShieldManager用户界面可划分成两个面板:清单面板和配置面板。
从清单面板选择视图和资源,以在配置面板中打开可用详细信息和配置选项。
单击每个清单对象时,在配置面板中即会显示该清单对象的一组特定选项卡。
VMware,Inc. 13 vShield管理指南 nvShieldManager清单面板第14页,vShieldManager清单面板层次结构模仿vSphereClient清单层次结构。
nvShieldManager配置面板第14页,vShieldManager配置面板根据所选清单资源和vShield操作的输出显示可配置的设置。
每个资源都提供多个选项卡,每个选项卡都显示与资源相对应的信息或配置表单。
vShieldManager清单面板 vShieldManager清单面板层次结构模仿vSphereClient清单层次结构。
资源包括根文件夹、数据中心、群集、端口组、ESX主机和虚拟机。
因此,vShieldManager结合vCenterServer清单可提供虚拟部署的完整视图。
vShieldManager和vShieldApp虚拟机不显示在vShieldManager清单面板中。
vShieldManager设置是从清单面板顶部的Settings&Reports资源中配置的。
该清单面板提供多个视图:Hosts&Clusters、Networks以及Edges。
Hosts&Clusters视图显示清单中的数据中心、群集、资源池和ESX主机。
Networks视图显示清单中的VLAN网络和端口组。
Edges视图显示由vShieldEdge实例保护的端口组。
Hosts&Clusters和Networks视图与vSphereClient中相同的视图保持一致。
代表虚拟机和vShield组件的各图标,在vShieldManager和vSphereClient清单面板之间存在差别。
自定义图标用于显示vShield组件和虚拟机的区别,以及显示受保护和不受保护的虚拟机的区别。
表2‑1vShieldManager清单面板上的vShield虚拟机图标 图标 描述 已打开电源的受vShieldApp保护的虚拟机。
已打开电源的不受vShieldApp保护的虚拟机。
关闭电源的虚拟机。
断开连接的受保护虚拟机。
刷新清单面板 要刷新清单面板中的资源列表,请单击.该刷新操作请求接收来自vCenterServer的最新资源信息。
默认情况下,vShieldManager每5分钟请求接收一次来自vCenterServer的资源信息。
搜索清单面板 要搜索特定资源的清单面板,请在vShieldManager清单面板顶部的字段中键入一个字符串,然后单击. vShieldManager配置面板 vShieldManager配置面板根据所选清单资源和vShield操作的输出显示可配置的设置。
每个资源都提供多个选项卡,每个选项卡都显示与资源相对应的信息或配置表单。
由于每个资源的用途不同,因此某些选项卡特定于某些资源。
另外,某些选项卡还包含二级选项。
14 VMware,Inc. 管理系统设置
3 您可以编辑vCenterServer、DNS和NTP服务器,以及在初始登录过程中指定的查询服务器。
vShieldManager需要与vCenterServer和服务(例如DNS和NTP)进行通信,以提供有关VMwareInfrastructure清单的详细信息。
本章讨论了以下主题:n第15页,“编辑DNS服务器”n第16页,“编辑vShieldManager日期和时间”n第16页,“编辑LookupService详细信息”n第16页,“编辑vCenterServer”n第17页,“指定Syslog服务器”n第17页,“下载vShield的技术支持日志”n第18页,“添加SSL证书以识别vShieldManagerWeb服务”n第19页,“向vShieldManager添加Cisco交换机”n第19页,“使用服务和服务组”n第22页,“分组对象” 编辑DNS服务器 您可以更改在首次登录期间指定的DNS服务器。
主DNS服务器会显示在vShieldManager用户界面中。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击[配置]选项卡。
3确保您处于General选项卡中。
4单击DNSServers旁的Edit。
5进行适当更改。
6单击确定。
VMware,Inc. 15 vShield管理指南 编辑vShieldManager日期和时间 您可以更改在首次登录期间指定的NTP服务器。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击配置选项卡。
3确保您处于General选项卡中。
4单击NTPServer旁的Edit。
5进行适当更改。
6单击确定。
7重新引导vShieldManager。
编辑LookupService详细信息 您可以更改在首次登录期间指定的LookupService详细信息。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击配置选项卡。
3确保您处于General选项卡中。
4单击LookupService旁的Edit。
5进行适当更改。
6单击确定。
编辑vCenterServer 您可以更改在首次登录时将vShieldManager注册到的vCenterServer。
仅在更改当前vCenterServer的IP地址时才应进行该操作。
步骤1如果已登录vSphereClient,请注销。
2登录vShieldManager。
3单击vShieldManager清单面板中的Settings&Reports。
4单击Configuration选项卡。
5确保您处于General选项卡中。
6单击vCenterServer旁的Edit。
7进行适当更改。
8单击确定。
9登录vSphereClient。
10选择ESX主机。
16 VMware,Inc. 章3管理系统设置 11验证vShield是否显示为一个选项卡。
下一步您可以从vSphereClient安装和配置vShield组件。
指定Syslog服务器 如果指定syslog服务器,则vShieldManager会将所有审核日志和系统事件从vShieldManager发送至syslog服务器。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击[配置]选项卡。
3确保您处于General选项卡中。
4单击SyslogServer旁的Edit。
5键入syslog服务器的IP地址。
6(可选)键入syslog服务器的端口。
如果不指定端口,则会使用syslog服务器的IP地址/主机名的默认UDP端口。
7单击确定。
下载vShield的技术支持日志 您可以将vShieldManager审核日志和系统事件从vShield组件下载到您的PC。
审核日志指的是配置更改(例如防火墙配置更改)日志,而系统事件指的是vShieldManager运行期间在后台发生的事件。
例如,如果vShieldManager失去与一个vShieldApp或vShieldEdge设备的连接,则会记录一个系统事件。
审核日志和系统事件都通过syslog服务器在Info级别进行记录。
但是,系统事件具有内部严重性,为该系统事件发送syslog消息时会添加该内部严重性。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Configuration选项卡。
3单击Support。
4在TechSupportLogDownload下,单击相应的组件旁边的Initiate。
一旦启动,则会生成日志并将其上载到vShieldManager。
此操作可能需要几秒钟时间。
5准备好日志后,单击Download链接将该日志下载到您的PC。
该日志已压缩,其文件扩展名为.gz。
下一步您可以通过在保存文件的目录中浏览查找AllFiles来使用解压缩实用程序打开该日志。
VMware,Inc. 17 vShield管理指南 添加SSL证书以识别vShieldManagerWeb服务 您可以生成证书签名请求,使其由CA签名,然后将签名的SSL证书导入到vShieldManager以验证vShieldManagerWeb服务的身份,并对发送到vShieldManagerWeb服务器的信息进行加密。
作为安全方面的最佳实践,您应该使用生成证书选项生成私钥和公钥,其中私钥应保存到vShieldManager。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击[配置]选项卡。
3单击SSLCertificate。
4在GenerateCertificateSigningRequest下,通过填写以下字段完成表单: 选项CommonName OrganizationUnitOrganizationNameCityNameStateNameCountryCodeKeyAlgorithm KeySize 操作 键入vShieldManager的IP地址或完全限定域名(FQDN)。
VMware建议您输入FQDN。
输入订购该证书的公司部门。
输入公司的法定全称。
输入公司所在城市的全称。
输入公司所在省/市/自治区的全称。
输入代表您所在国家/地区的两位数代码。
例如,美国的代码为US。
从DSA或RSA中选择要使用的加密算法。
VMware建议选择RSA以实现向后兼容性。
选择在选定算法中使用的加密位数。
5单击Generate。
导入SSL证书 可导入预先存在或CA签署的SSL证书以供vShieldManager使用。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击[配置]选项卡。
3单击SSLCertificate。
4在ImportSignedCertificate下,单击CertificateFile旁边的Browse查找证书文件。
5从CertificateType下拉列表中选择证书文件类型。
如果适用,在导入CA签名证书前导入根证书和中间证书。
如果有多个中间证书,则将它们合并为单个文件,然后导入该文件。
6单击应用。
屏幕顶部会显示包含消息essfullyimportedcertificate的黄色栏。
7单击ApplyCertificate。
vShieldManager将重新启动以应用该证书。
证书将存储在vShieldManager中。
18 VMware,Inc. 章3管理系统设置 向vShieldManager添加Cisco交换机 您可以向vShieldManager添加Cisco交换机并管理其实施。
前提条件N1K交换机必须已安装在vCenterServer上。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2确保您处于Configuration选项卡中。
3单击Networking选项卡。
4单击AddSwitchProvider。
5键入交换机的名称。
6按以下格式键入可与该交换机通信的API接口:https://IP_of_VSM/n1k/services/NSM。
7键入您的N1K用户名和密码。
8单击确定。
交换机会添加到交换机提供程序表中。
使用服务和服务组 服务是协议-端口组合,服务组是一组服务。
创建服务 可以创建一个服务,然后为该服务定义规则。
步骤1执行以下操作之
一。
选项在全局范围创建服务 在数据中心范围创建服务在端口组范围创建服务在vShieldEdge范围创建服务 描述 a登录vShieldManager用户界面。
b单击Settings&Reports。
c单击ObjectLibrary。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择数据中心。
c单击vShield选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击网络虚拟化选项卡。
d单击Edge选项卡。
e双击一个vShieldEdge实例。
f单击配置选项卡。
2单击服务选项卡。
VMware,Inc. 19 vShield管理指南 3选择添加>服务。
4键入用来标识该服务的名称。
5键入对服务的描述。
6选择要向其添加非标准端口的协议。
7在端口中键入端口号。
8(可选)在全局或数据中心范围创建服务时,请选择启用继承以允许基础范围的可见性使该服务在基础范 围可用。
9单击确定。
该服务会显示在“服务”表中。
创建服务组 您可以在全局、数据中心或vShieldEdge级别创建服务组,然后为该服务组定义规则。
步骤1执行以下操作之
一。
选项在全局范围创建服务组 在数据中心范围创建服务组在端口组范围创建服务在vShieldEdge范围创建服务组 描述 a登录vShieldManager用户界面。
b单击Settings&Reports。
c单击ObjectLibrary。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击网络虚拟化选项卡。
d单击Edge选项卡。
e双击一个vShieldEdge实例。
f单击配置选项卡。
2单击服务选项卡。
3选择添加>服务组。
4键入用来标识服务组的名称。
5键入对服务的描述。
6在“成员”中,选择要添加到该组的服务或服务组。
7(可选)在全局或数据中心范围创建服务组时,请选择启用继承以允许基础范围的可见性使该服务组在基 础范围可用。
8单击确定。
该自定义服务组会显示在“服务”表中。
20 VMware,Inc. 章3管理系统设置 编辑服务或服务组 您可以编辑服务和服务组。
可以在定义服务或服务组的范围对其进行编辑。
例如,如果某服务定义在全局范围,则无法在vShieldEdge范围对其进行编辑。
步骤1执行以下操作之
一。
选项在全局范围编辑服务 在数据中心范围编辑服务在端口组范围编辑服务在vShieldEdge范围编辑服务 描述 a登录vShieldManager用户界面。
b单击Settings&Reports。
c单击ObjectLibrary。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击网络虚拟化选项卡。
d单击Edge选项卡。
e双击一个vShieldEdge实例。
f单击配置选项卡。
2单击服务选项卡。
3选择自定义服务或服务组,然后单击编辑()图标。
4进行适当更改。
5单击确定。
删除服务或服务组 您可以删除服务或服务组。
可以在定义服务或服务组的范围将其删除。
例如,如果某服务定义在全局范围,则无法在vShieldEdge范围将其删除。
步骤1执行以下操作之
一。
选项在全局范围删除服务 在数据中心范围删除服务 描述 a登录vShieldManager用户界面。
b单击Settings&Reports。
c单击ObjectLibrary。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
VMware,Inc. 21 vShield管理指南 选项在端口组范围删除服务 在vShieldEdge范围删除服务 描述 a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击网络虚拟化选项卡。
d单击Edge选项卡。
e双击一个vShieldEdge实例。
f单击配置选项卡。
2单击服务选项卡。
3选择自定义服务或服务组,然后单击删除()图标。
4单击是。
该服务或服务组将被删除。
分组对象 使用分组功能,您可以创建可指定虚拟机和网络适配器等资源的自定义容器,使之受AppFirewall保护。
定义组后,可以将该组作为源或目标添加到防火墙规则,使之受到保护。
使用IP地址组 创建IP地址组 您可以在全局、数据中心或vShieldEdge范围创建IP地址组,然后将该组作为源或目标添加在防火墙规则中。
该规则可帮助保护物理机不受虚拟机的影响,反之亦然。
步骤1执行以下操作之
一。
选项在全局范围创建IP地址组在数据中心范围创建IP地址组 在端口组范围创建IP地址组在vShieldEdge范围创建IP地址组 描述 a在vShieldManager用户界面中,单击vShieldManager清单面板中的ObjectLibrary。
b确保您处于Grouping选项卡中。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
d在“常规”选项卡中,选择分组选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击网络虚拟化选项卡。
d单击Edge选项卡。
e双击一个vShieldEdge实例。
f单击配置选项卡。
2单击分组对象选项卡。
22 VMware,Inc. 章3管理系统设置 3单击添加()图标并选择IP地址。
此时将打开AddIPAddresses窗口。
4键入地址组名称。
5(可选)键入地址组描述。
6键入要包含在组中的IP地址。
7(可选)在全局或数据中心范围创建IP地址组时,请选择启用继承以允许基础范围的可见性使该IP地址 组在基础范围可用。
8单击确定。
编辑IP地址组 可以在定义IP地址组的范围对其进行编辑。
例如,如果某IP地址组定义在全局范围,则无法在vShieldEdge范围对其进行编辑。
前提条件 步骤1执行以下操作之
一。
选项在全局范围编辑IP地址组在数据中心范围编辑IP地址组 在端口组范围编辑IP地址组在vShieldEdge范围编辑IP地址组 描述 a在vShieldManager用户界面中,单击vShieldManager清单面板中的ObjectLibrary。
b确保您处于Grouping选项卡中。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
d在“常规”选项卡中,选择分组选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击网络虚拟化选项卡。
d单击Edge选项卡。
e双击一个vShieldEdge实例。
f单击配置选项卡。
2单击分组对象选项卡。
3选择要编辑的组,然后单击编辑()图标。
4在“编辑IP地址”对话框中,进行适当的更改。
5单击确定。
VMware,Inc. 23 vShield管理指南 删除IP地址组 可以在定义IP地址组的范围将其删除。
例如,如果某IP地址组定义在全局范围,则无法在vShieldEdge范围将其删除。
步骤1执行以下操作之
一。
选项在全局范围删除IP地址组在数据中心范围删除IP地址组 在端口组范围删除IP地址组在vShieldEdge范围删除IP地址组 描述 a在vShieldManager用户界面中,单击vShieldManager清单面板中的ObjectLibrary。
b确保您处于Grouping选项卡中。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
d在“常规”选项卡中,选择分组选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击网络虚拟化选项卡。
d单击Edge选项卡。
e双击一个vShieldEdge实例。
f单击配置选项卡。
2单击分组对象选项卡。
3选择要删除的组,然后单击删除()图标。
使用MAC地址组 创建MAC地址组 您可以创建由一系列MAC地址组成的MAC地址组,然后将该组作为源或目标添加在vShieldAppFirewall规则中。
该规则可帮助保护物理机不受虚拟机的影响,反之亦然。
步骤1执行以下操作之
一。
选项在全局级别创建MAC地址组在数据中心级别创建MAC地址组 在端口组级别创建MAC地址 描述 a在vShieldManager用户界面中,单击vShieldManager清单面板中的ObjectLibrary。
b确保您处于Grouping选项卡中。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
d在“常规”选项卡中,选择分组选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
24 VMware,Inc. 章3管理系统设置 2单击添加()图标并选择MAC地址。
此时将打开“添加MAC地址”窗口。
3键入地址组名称。
4(可选)键入地址组描述。
5键入要包含在组中的MAC地址。
6如果希望MAC地址组向下传播至选定数据中心中的对象,请选择启用继承以允许在基础范围的可见性。
7单击确定。
编辑MAC地址组 可以在定义MAC地址组的范围对其进行编辑。
例如,如果某MAC地址组定义在全局范围,则无法在vShieldEdge范围对其进行编辑。
步骤1执行以下操作之
一。
选项在全局范围编辑MAC地址组在数据中心范围编辑MAC地址组 在端口组范围编辑MAC地址组在vShieldEdge范围编辑MAC地址组 描述 a在vShieldManager用户界面中,单击vShieldManager清单面板中的ObjectLibrary。
b确保您处于Grouping选项卡中。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
d在“常规”选项卡中,选择分组选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击网络虚拟化选项卡。
d单击Edge选项卡。
e双击一个vShieldEdge实例。
f单击配置选项卡。
2单击分组对象选项卡。
3选择要编辑的组,然后单击编辑()图标。
4在“编辑MAC地址”对话框中,进行适当的更改。
5单击确定。
VMware,Inc. 25 vShield管理指南 删除MAC地址组 可以在定义MAC地址组的范围将其删除。
例如,如果某MAC地址组定义在全局范围,则无法在vShieldEdge范围将其删除。
步骤1执行以下操作之
一。
选项在全局范围删除MAC地址组在数据中心范围删除MAC地址组 在端口组范围删除MAC地址组在vShieldEdge范围删除MAC地址组 描述 a在vShieldManager用户界面中,单击vShieldManager清单面板中的ObjectLibrary。
b确保您处于Grouping选项卡中。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
d在“常规”选项卡中,选择分组选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击网络虚拟化选项卡。
d单击Edge选项卡。
e双击一个vShieldEdge实例。
f单击配置选项卡。
2单击分组对象选项卡。
3选择要编辑的组,然后单击删除()图标。
使用安全组 创建安全组 在vSphereClient中,您可以在数据中心或端口组级别添加安全组。
安全组的范围仅限于创建该安全组的资源级别。
例如,如果在数据中心级别创建安全组,则只有在数据中心级别创建防火墙规则时,才可将该安全组作为源或目标进行添加。
如果为该数据中心内的端口组创建规则,则不能使用该安全组。
步骤1执行以下操作之
一。
选项在数据中心级别创建安全组 在端口组级别创建安全组 描述 a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
d在“常规”选项卡中,选择分组选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
d选择分组选项卡。
26 VMware,Inc. 章3管理系统设置 2单击Add,然后选择SecurityGroup。
此时将打开AddSecurityGroup窗口,且选定的数据中心将显示为Scope。
3键入此安全组的名称和描述。
4在Add按钮旁的字段中单击,然后选择要包含在安全组中的资源。
5在成员中,选择要添加到安全组的一个或多个资源。
将资源添加到安全组时,将自动添加所有关联的资源。
例如,选择虚拟机后,关联的虚拟网卡将自动添加到安全组中。
6单击确定。
编辑安全组 可以在定义安全组的范围对其进行编辑。
例如,如果某安全组定义在数据中心范围,则无法在端口组范围对其进行编辑。
步骤1执行以下操作之
一。
选项在数据中心级别编辑安全组 在端口组级别编辑安全组 描述 a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
d在“常规”选项卡中,选择分组选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
d选择分组选项卡。
2选择要编辑的组,然后单击编辑()图标。
3在“编辑安全组”对话框中,进行适当的更改。
4单击确定。
删除安全组 可以在定义安全组的范围将其删除。
例如,如果某安全组定义在数据中心范围,则无法在vShield端口组范围将其删除。
步骤1执行以下操作之
一。
选项在数据中心级别删除安全组 在端口组级别删除安全组 描述 a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
d在“常规”选项卡中,选择分组选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
d选择分组选项卡。
VMware,Inc. 27 vShield管理指南 2选择要删除的组,然后单击删除()图标。
28 VMware,Inc. 用户管理
4 安全操作通常由多人管理。
根据特定的逻辑分类将整个系统委派给不同的人员管理。
然而,只有具有特定资源的适当权限的用户才有权执行任务。
在Users区域中,您可以通过授予适当的权限向用户委派此类资源管理。
vShield支持SingleSignOn(SSO),vShield通过它可以从诸如AD、NIS和LDAP等其他身份服务对用户进行身份验证。
vShieldManager用户界面中的用户管理与任何vShield组件的CLI中的用户管理都是分开的。
本章讨论了以下主题:n第29页,“配置SingleSignOn”n第30页,“管理用户权限”n第30页,“管理默认用户帐户”n第31页,“添加用户帐户”n第33页,“编辑用户帐户”n第33页,“更改用户角色”n第34页,“禁用或启用用户帐户”n第34页,“删除用户帐户” 配置SingleSignOn 将SingleSignOn服务与vShield集成在一起可提高vCenter用户进行用户身份验证的安全性,并使vShield可以通过诸如AD、NIS和LDAP等其他身份服务对用户进行身份验证。
通过SingleSignOn,vShield支持通过RESTAPI调用使用来自受信任源的经过身份验证的SAML令牌进行身份验证。
vShieldManager还可以获取身份验证SAML令牌以与其他VMware解决方案配合使用。
前提条件nSingleSignOn服务必须安装在vCenterServer上。
n您必须指定NTP服务器,使SingleSignOn服务器上的时间与vShieldManager上的时间保持同步。
请 参见《vShield安装和升级指南》中的“设置vShieldManager”。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击配置选项卡。
3确保您处于General选项卡中。
VMware,Inc. 29 vShield管理指南 4单击LookupService旁的Edit。
5键入具有LookupService的主机的名称或IP地址。
6根据需要更改端口号。
系统将根据指定的主机和端口显示LookupServiceURL。
7键入SSO用户名和密码。
这使vShieldManager可以在安全令牌服务服务器上对其自身进行注册。
8单击确定。
下一步为该SSO用户分配一个角色。
管理用户权限 在vShieldManager用户界面中,用户的角色定义允许用户对给定资源执行的操作。
角色决定用户获得授权可对给定资源执行的活动,从而确保用户只能执行完成适当操作必需的功能。
这样可以实现对特定资源的域控制,如果您的权限没有限制,还可实现系统范围的控制。
强制执行下列规则: n一个用户只能具有一个角色。
n不能将角色添加到用户或从用户中移除分配的角色。
但可以更改用户的分配角色。
表4‑1vShieldManager用户角色 权限 权限 Enterprise管理员 vShield操作和安全。
vShield管理员 仅vShield操作:例如,安装虚拟设备、配置端口组。
安全管理员 仅vShield安全:例如,定义数据安全策略、创建端口组、创建vShield模块的报告。
审核员 只读。
角色范围确定特定用户可以查看的资源。
以下范围适用于vShield用户。
表4‑2vShieldManager用户范围 范围 描述 无限制 可以访问整个vShield系统 将访问范围限制为以下选定端口组 可以访问指定的数据中心或端口组 Enterprise管理员和vShield管理员角色只能分配给vCenter用户,其访问范围是全局(无限制)。
管理默认用户帐户 vShieldManager用户界面包含一个本地用户帐户,此帐户具有对所有资源的访问权限。
您不能编辑此用户的权限或删除此用户。
默认用户名为admin,默认密码为default。
请在初始登录到vShieldManager时更改此帐户的密码。
请参见第33页,“编辑用户帐户”。
30 VMware,Inc. 章4用户管理 添加用户帐户 可以为vShield创建新的本地用户,或将角色分配给vCenter用户。
创建新的本地用户 1单击vShieldManager清单面板中的Settings&Reports。
2单击Users选项卡。
3单击添加。
此时将打开AssignRole窗口。
4单击CreateanewuserlocaltovShield。
5键入Email地址。
6键入LoginID。
此用户名用于登录到vShieldManager用户界面。
不能使用此用户名和关联的密码访问vShieldApp或vShieldManagerCLI。
7键入用户的FullName进行标识。
8键入用于登录的Password。
9在RetypePassword字段中再次键入该密码。
10单击下一步。
11为用户选择角色,然后单击Next。
有关可用角色的详细信息,请参见第30页,“管理用户权限”。
12为用户选择范围,然后单击Finish。
用户帐户将在Users表中显示。
将角色分配给vCenter用户 将角色分配给SSO用户时,vCenter通过在SSO服务器上配置的身份服务对该用户进行身份验证。
如果SSO服务器未配置或不可用,则用户在本地进行身份验证或基于vCenter配置通过ActiveDirectory进行身份验证。
1单击vShieldManager清单面板中的Settings&Reports。
2单击Users选项卡。
3单击添加。
此时将打开AssignRole窗口。
4单击SelectvCenteruser。
5键入用户的vCenterUser名称。
注意如果vCenter用户来自域(例如SSO用户),则必须输入完全限定的Windows域路径。
这将允许默认vShieldManager用户(管理员)以及SSO默认用户(管理员)登录vShieldManager。
此用户名用于登录vShieldManager用户界面,不能用于访问vShieldApp或vShieldManagerCLI。
6单击下一步。
7为用户选择角色,然后单击Next。
有关可用角色的详细信息,请参见第30页,“管理用户权限”。
VMware,Inc. 31 vShield管理指南 8为用户选择范围,然后单击Finish。
用户帐户将在Users表中显示。
了解基于组的角色分配 组织创建用户组以进行适当的用户管理。
与SingleSignOn(SSO)集成后,vShieldManager可以获得用户所属的组的详细信息。
无需将角色分配给属于相同组的各个用户,vShieldManager可以将角色分配给组。
我们来浏览一些方案以帮助了解vShieldManager如何分配角色。
示例:方案
1 组选项名称分配的角色资源 值G1审核员(只读)全局根 用户选项名称属于组分配的角色 值JohnG1无 John属于组G1,该组已被分配审核员角色。
John继承了组角色和资源权限。
示例:方案
2 组选项名称分配的角色资源 值G1审核员(只读)全局根 组选项名称分配的角色资源 值G2安全管理员(读和写)Datacenter1 用户选项名称属于组分配的角色 值JosephG1、G2无 Joseph属于组G1和G2,并且继承了审核员和安全管理员角色的组合权限。
例如,John拥有以下权限:n对Datacenter1的读、写(安全管理员角色)权限n对全局根的只读(审核员)权限 32 VMware,Inc. 示例:方案
3 组选项名称分配的角色资源 值G1企业管理员全局根 用户选项名称属于组分配的角色资源 值BobG1安全管理员(读和写)Datacenter1 Bob已被分配安全管理员角色,因此他未继承组角色权限。
Bob拥有以下权限n对Datacenter1及其子资源的读、写(安全管理员角色)权限nDatacenter1上的企业管理员角色 编辑用户帐户 可以编辑用户帐户来更改角色或范围。
但不能编辑admin帐户。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Users选项卡。
3选择要编辑的用户。
4单击编辑。
5根据需要进行更改。
6单击确定保存更改。
更改用户角色 可以为除admin用户之外的所有用户更改角色分配。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Users选项卡。
3选择要为其更改角色的用户4单击ChangeRole。
5根据需要进行更改。
6单击Finish保存更改。
VMware,Inc. 章4用户管理33 vShield管理指南 禁用或启用用户帐户 可以禁用某个用户帐户,以阻止该用户登录vShieldManager。
但不能禁用admin用户。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Users选项卡。
3选择用户帐户。
4执行以下操作之
一。
n单击Actions>Disableselecteduser(s)以禁用用户帐户。
n单击Actions>Enableselecteduser(s)以启用用户帐户。
删除用户帐户 您可以删除创建的任何用户帐户,但不能删除admin帐户。
已删除用户的审核记录会保留在数据库中,并可以在审核日志报告中进行引用。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Users选项卡。
3选择要删除的用户。
4单击Delete。
5单击确定确认删除。
如果删除vCenter用户帐户,则仅删除vShieldManager的角色分配。
不会删除vCenter上的用户帐户。
34 VMware,Inc. 更新系统软件
5 vShield软件需要定期更新以保持系统性能。
使用Updates选项卡选项,您可以安装并跟踪系统更新。
n查看当前系统软件第35页, 可以查看当前安装的vShield组件软件版本或验证是否在进行更新。
n上载更新第35页, vShield更新可按脱机更新的形式提供。
某一更新可用时,您可以将该更新下载到您的PC,并使用vShieldManager用户界面上传该更新。
查看当前系统软件 可以查看当前安装的vShield组件软件版本或验证是否在进行更新。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Updates选项卡。
3单击UpdateStatus。
上载更新 vShield更新可按脱机更新的形式提供。
某一更新可用时,您可以将该更新下载到您的PC,并使用vShieldManager用户界面上传该更新。
上载更新后,先更新vShieldManager,然后更新每个vShieldZones或vShieldApp实例。
如果需要重新引导vShieldManager或者vShieldZones或App,UpdateStatus屏幕会提示您重新引导该组件。
在必须重新引导vShieldManager和所有vShieldZones或App实例的情况下,必须先重新引导vShieldManager,然后重新引导每个vShieldZones或App。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Updates选项卡。
3单击UploadUpgradeBundle。
4单击Browse查找更新。
5找到文件后,单击UploadFile。
6单击UpdateStatus,然后单击Install。
VMware,Inc. 35 vShield管理指南 7单击ConfirmInstall确认安装更新。
此屏幕中显示两个表。
在安装期间,您可以查看顶部的表了解当前更新的说明、开始时间、成功状态和进程状态。
查看底部的表了解每个vShieldApp的更新状态。
当最后一个vShieldApp的状态显示为Finished时,所有vShieldApp都已升级。
8重新引导vShieldManager后,单击UpdateStatus选项卡。
9如果出现提示,单击RebootManager。
10单击FinishInstall完成系统更新。
11单击Confirm。
36 VMware,Inc. 备份vShieldManager数据
6 您可以备份和还原vShieldManager数据,其中可包含系统配置、事件和审核日志表。
配置表包含在每个备份中。
但是,您可以排除系统和审核日志事件。
保存备份的位置必须是vShieldManager可以访问的远程位置。
可根据调度执行备份或按需执行备份。
n按需备份vShieldManager数据第37页, 您随时可通过执行按需备份对vShieldManager数据进行备份。
n调度vShieldManager数据的备份第38页, 在任何给定时间只能调度一种备份类型的参数。
无法调度仅包含配置的备份与完整数据备份同时运行。
n还原备份第38页, 您只能在全新部署的vShieldManager设备上还原备份。
按需备份vShieldManager数据 您随时可通过执行按需备份对vShieldManager数据进行备份。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Configuration选项卡。
3单击Backups。
4(可选)如果不希望备份系统事件表,请选中ExcludeSystemEvents复选框。
5(可选)如果不希望备份审核日志表,请选中ExcludeAuditLogs复选框。
6键入将保存备份的系统的HostIPAddress。
7键入备份系统的HostName。
8键入登录到备份系统所需的UserName。
9键入与备份系统的用户名关联的Password。
10在BackupDirectory字段中,键入用于存储备份的绝对路径。
11在FilenamePrefix中键入一个文本字符串。
此文本将被预置到备份文件名中,以便在备份系统中识别这些备份文件。
例如,如果键入ppdb,则生成的备份的名称为ppdbHH_MM_SS_DayDDMonYYYY。
12输入PassPhrase以确保备份文件安全。
VMware,Inc. 37 vShield管理指南 13从TransferProtocol下拉菜单中,选择SFTP或FTP。
14单击Backup。
在完成备份后,该备份将显示在此表单下方的表中。
15单击SaveSettings保存配置。
调度vShieldManager数据的备份 在任何给定时间只能调度一种备份类型的参数。
无法调度仅包含配置的备份与完整数据备份同时运行。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Configuration选项卡。
3单击Backups。
4从ScheduledBackups下拉菜单中,选择On。
5从BackupFrequency下拉菜单中,选择Hourly、Daily或Weekly。
系统将根据所选的频率禁用DayofWeek、HourofDay和Minute下拉菜单。
例如,如果您选择Daily,则将禁用DayofWeek下拉菜单,因为此字段不适用于每天频率。
6(可选)如果不希望备份系统事件表,请选中ExcludeSystemEvents复选框。
7(可选)如果不希望备份审核日志表,请选中ExcludeAuditLog复选框。
8键入将保存备份的系统的HostIPAddress。
9(可选)键入备份系统的HostName。
10键入登录到备份系统所需的UserName。
11键入与备份系统的用户名关联的Password。
12在BackupDirectory字段中,键入用于存储备份的绝对路径。
13在FilenamePrefix中键入一个文本字符串。
此文本将被预置到每个备份文件名中,以便在备份系统中识别这些备份文件。
例如,如果键入ppdb,则生成的备份的名称为ppdbHH_MM_SS_DayDDMonYYYY。
14根据目标支持的内容,从TransferProtocol下拉菜单中选择SFTP或FTP。
15单击SaveSettings。
还原备份 您只能在全新部署的vShieldManager设备上还原备份。
要还原可用备份,Backups屏幕中的HostIPAddress、UserName、Password和BackupDirectory字段就必须包含用于识别要恢复的备份的位置的值。
如果备份文件包含系统事件数据和审核日志数据,则还将还原这些数据。
重要事项在还原备份文件前,请对您的当前数据进行备份。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Configuration选项卡。
38 VMware,Inc. 3单击Backups。
4单击ViewBackups,查看已保存到备份服务器的所有可用备份。
5选中与要还原的备份对应的复选框。
6单击Restore。
7单击OK确认。
章6备份vShieldManager数据 VMware,Inc. 39 vShield管理指南 40 VMware,Inc. 系统事件和审核日志
7 系统事件指与vShield操作有关的事件。
生成事件的目的是详细记录每个操作事件,例如vShieldApp重新引导或vShieldApp和vShieldManager之间的通信中断。
这些事件可能与基本操作(信息事件)或重要错误(重要事件)相关。
本章讨论了以下主题:n第41页,“查看系统事件报告”n第41页,“vShieldManager虚拟设备事件”n第42页,“vShieldApp事件”n第43页,“关于Syslog格式”n第43页,“查看审核日志” 查看系统事件报告 vShieldManager会将系统事件汇总到报告中。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击SystemEvents选项卡。
3要对事件进行排序,请单击相应列标题旁边的或。
vShieldManager虚拟设备事件 以下事件特定于vShieldManager虚拟设备。
表7‑1vShieldManager虚拟设备事件 关闭电源 打开电源 本地CLI 运行showlogfollow命令。
运行showlogfollow命令。
GUI 不适用 不适用 界面关闭 运行showlogfollow命令。
不适用 界面启动 运行showlogfollow命令。
不适用 VMware,Inc. 41 vShield管理指南 表7‑2vShieldManager虚拟设备事件CPU 本地CLI 运行showprocessmonitor命令。
GUI 不适用 内存运行showsystemmemory命令。
存储器运行showfilesystem命令。
不适用 不适用 vShieldApp事件 以下事件特定于vShieldApp虚拟设备。
表7‑3vShieldApp事件关闭电源 打开电源 本地CLI 运行showlogfollow命令。
运行showlogfollow命令。
Syslog 不适用 请参见第43页,“关于Syslog格式”。
GUI 系统事件日志中的请参见第150页, “检测信号故障”事件。
请参见第41页,“查看系统事件报告”。
“查看vShieldApp的当前系统状态”。
界面关闭 运行showlogfollow命令。
e1000:mgmt:e1000_watchdog_task:NICLinkisUp/Down100MbpsFullDuplex.有关在syslog服务器上运行脚本的信息,请搜索NICLinkis。
请参见第150页,“查看vShieldApp的当前系统状态”。
界面启动 运行showlogfollow命令。
e1000:mgmt:e1000_watchdog_task:NICLinkisUp/Down100MbpsFullDuplex.有关在syslog服务器上运行脚本的信息,请搜索NICLinkis。
请参见第150页,“查看vShieldApp的当前系统状态”。
表7‑4vShieldApp设备状态事件 本地CLISyslog CPU 运行showprocessmonitor命令。
不适用 内存 运行showsystemmemory命令。
GUI 1从vShield 1从vShield Manager清单面板 Manager清单面板 中选择安装有 中选择安装有 vShieldApp的主 vShieldApp的主 机。
机。
2在ServiceVirtual2在ServiceVirtual Machines中,单 Machines中,单 击(位于vShieldApp虚拟机的旁边)。
击(位于vShieldApp虚拟机的旁边)。
存储器 运行showfilesystem命令。
不适用 1从vShieldManager清单面板中选择安装有vShieldApp的主机。
2在ServiceVirtualMachines中,单 击(位于vShieldApp虚拟机的旁边)。
由于DoS、不活动或者数据超时导致的会话重置 运行showlogfollow命令。
请参见第43页,“关于Syslog格式”。
1从vShieldManager清单面板中选择安装有vShieldApp的主机。
2在ServiceVirtualMachines中,单击(位于vShieldApp虚拟机的旁边)。
42 VMware,Inc. 章7系统事件和审核日志 关于Syslog格式 是否与SPOCK的格式相同? syslog中记录的系统事件消息的结构如下。
syslogheader(timestamp+hostname+sysmgr/)Timestamp(fromtheservice)Name/valuepairsNameandvalueseparatedbydelimiter'::'(doublecolons)Eachname/valuepairseparatedbydelimiter';;'(doublesemi-colons) 系统事件的字段和类型包含以下信息。
EventID::32bitunsignedintegerTimestamp::32bitunsignedintegerApplicationName::stringApplicationSubmodule::stringApplicationProfile::stringEventCode::integer(possiblevalues:1000710016Severity::string(possiblevalues:INFORMATIONLOWMessage:: 1004320019)MEDIUMHIGHCRITICAL) 查看审核日志 AuditLogs选项卡提供了由所有vShieldManager用户执行的操作的视图。
vShieldManager会将审核日志数据保留一年,之后将丢弃该数据。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击AuditLogs选项卡。
3要查看某一审核日志的详细信息,请单击Operation列中的文本。
如果该审核日志有详细信息,则可以单 击Operation列中该日志所对应的文本。
4在AuditLogChangeDetails中,选择ChangedRows可以仅显示在执行该操作后值已发生更改的属性。
VMware,Inc. 43 vShield管理指南 44 VMware,Inc. VXLAN虚拟线路管理
8 在大型云部署中,虚拟网络中的应用程序可能需要逻辑隔离。
例如,一个三层应用程序可能包含多个要求在虚拟机之间使用逻辑隔离网络的虚拟机。
诸如VLAN(通过12位VLAN标识符实现4096个LAN分段)等传统网络隔离技术可能无法为这些部署提供足够的分段。
此外,基于VLAN的网络绑定到物理结构,其移动性受到限制。
vShieldVXLAN虚拟线路是可扩展的平面第2层网络分段。
该功能使您可以在任何可用的群集上部署应用程序并在更广泛的直径内传输虚拟机,从而带来网络灵活性。
基础技术称为VirtualeXtensibleLAN(即VXLAN),可定义24位LAN分段标识符,在云部署级别提供分段。
VXLAN虚拟线路使您可以通过不同子网中可重复的单元来扩展云部署。
虚拟机的交叉群集放置有助于完全利用网络资源,且无需任何物理重新接线。
因此,VXLAN虚拟线路可提供应用程序级别的隔离。
图8‑1VXLAN虚拟线路概览 虚拟网络 虚拟机 虚拟机 虚拟机 虚拟线路 虚拟机 DistributedSwitch VXLAN 虚拟机 您必须是安全管理员才能创建VXLAN虚拟线路。
本章讨论了以下主题:n第46页,“为VXLAN虚拟线路准备网络”n第47页,“创建VXLAN虚拟线路”n第49页,“将虚拟机连接到VXLAN虚拟线路”n第50页,“测试VXLAN虚拟线路连接”n第51页,“查看VXLAN虚拟线路的FlowMonitoring数据” VMware,Inc. 45 vShield管理指南 n第51页,“对VXLAN虚拟线路使用防火墙规则”n第51页,“避免VXLAN虚拟线路上出现欺骗行为”n第51页,“编辑网络范围”n第53页,“编辑VXLAN虚拟线路”n第53页,“创建VXLAN虚拟线路方案示例” 为VXLAN虚拟线路准备网络 您必须通过指定传输VLAN和启用IP多播来为VXLAN虚拟线路准备网络。
这些准备步骤仅需完成一次,然后可以创建多个VXLAN虚拟线路。
前提条件检查以下对照表来准备在网络中创建VXLAN虚拟线路:n确保您拥有以下软件版本 nVMwarevCenterServer5.1或更高版本n每个服务器上为VMwareESX5.1或更高版本nvSphereDistributedSwitch5.1或更高版本n物理基础架构MTU必须至少比虚拟机vNIC的MTU大50字节n从您的网络管理员那里和分段ID池中获取多播地址范围n在vCenterServer运行时设置中为每个vCenterServer设置受管IP地址。
有关详细信息,请参见《vCenterServer和主机管理》。
n验证DHCP在VXLAN传输VLAN上是否可用n对于链路聚合控制协议(LACP),必须启用5元组哈希分布 将群集与DistributedSwitch相关联 必须将要加入虚拟化网络的每个群集映射到vDS。
将群集映射到交换机时,会为VXLAN虚拟线路启用该群集中的每个主机。
前提条件VMware建议您在指定的网络范围内使用一致的交换机类型(供应商等)和版本。
交换机类型不一致会导致VXLAN虚拟线路中出现未定义行为。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4确保您处于准备选项卡中。
5在“连接”中,单击编辑。
此时会显示为VXLAN网络准备基础架构对话框。
6选择要加入虚拟网络的群集。
7对于每个选定的群集,键入用于VXLAN传输的VLAN。
有关检索VXLAN的VLANID的信息,请参见《vSphere网络》文档。
46 VMware,Inc. 章8VXLAN虚拟线路管理 8单击下一步。
9在“指定传输属性”中,为每个虚拟DistributedSwitch键入最大传输单元(MTU)。
MTU是在一个数据 包分为更小的数据包之前可在其中传输的最大数据量。
VXLAN流量帧由于封装原因在大小上稍微大些,因此每个交换机的MTU必须设置为1550或更大值。
10单击完成。
您现在已集中计算资源,并且准备好按需创建VXLAN虚拟线路。
将分段ID池和多播地址范围分配给vShieldManager 您必须指定分段ID池来隔离网络流量,并指定多播地址范围来帮助在网络中传播流量,以避免单个多播地址过载。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4确保您处于准备选项卡中。
5单击分段ID选项卡。
6单击编辑。
此时将打开“编辑设置”对话框。
7键入分段ID的范围。
例如5000-5200。
8键入地址范围。
例如224.1.1.50-224.1.1.60。
9单击确定。
创建VXLAN虚拟线路 前提条件您的网络已为VXLAN虚拟线路做好准备。
添加网络范围 网络范围是您的虚拟化网络跨越的计算直径,并且可能包含多个VXLAN虚拟线路。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络范围选项卡。
5单击添加()图标。
此时将打开“添加网络范围”对话框。
6键入网络范围的名称。
7键入网络范围的描述。
VMware,Inc. 47 vShield管理指南 8选择要添加到网络范围的群集。
9单击确定。
添加VXLAN虚拟线路 准备好VXLAN结构后,可以添加VXLAN虚拟线路。
VXLAN虚拟线路提供必要的网络连接抽象,以便虚拟机的vNIC始终使用VXLAN虚拟线路建立外部连接。
前提条件1您的网络已为VXLAN虚拟线路做好准备。
2您已经添加了网络范围。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络选项卡。
5单击添加图标。
6键入VXLAN虚拟线路的名称。
7键入VXLAN虚拟线路的描述。
8选择要在其中创建虚拟化网络的网络范围。
“范围详细信息”面板会显示属于选定网络范围的群集,以及 可供在该范围内部署的服务。
9单击确定。
下一步在“名称”列中单击VXLAN虚拟线路可查看虚拟线路详细信息。
将VXLAN虚拟线路连接到vShieldEdge 将VXLAN虚拟线路连接到vShieldEdge接口可隔离该VXLAN虚拟线路并提供网络边缘安全。
步骤 1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络选项卡。
5选择要连接到vShieldEdge的VXLAN虚拟线路。
6单击更多操作( )图标并选择连接到Edge。
7选择要将VXLAN虚拟线路连接到的vShieldEdge。
8单击选择。
9在“重定向到选定的Edge”对话框中,单击继续。
10在“编辑Edge接口”对话框中,键入vShieldEdge接口的名称。
48 VMware,Inc. 章8VXLAN虚拟线路管理 11选择内部或上行链路指明其是内部接口还是上行链路接口。
VXLAN虚拟线路通常连接到内部接口。
12VXLAN虚拟线路名称会显示在已连接到区域中。
13选择接口的连接状态。
14如果您要将VXLAN虚拟线路连接到的vShieldEdge选择了“手动HA配置”,请以CIDR格式指定两 个管理IP地址。
15根据需要编辑默认MTU。
16单击确定。
在VXLAN虚拟线路上部署服务 您可以在VXLAN虚拟线路上部署第三方服务。
前提条件有关将服务添加到vShieldManager的信息,请参见第143页,“插入网络服务”。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络选项卡。
5在名称列中,单击要在其上部署服务的虚拟线路。
6在可用服务面板中,单击启用服务。
7在“向该网络应用服务配置文件”对话框中,选择要应用的服务和服务配置文件。
8单击应用。
将虚拟机连接到VXLAN虚拟线路 可以将虚拟机与VXLAN虚拟线路连接。
这样可使您轻松识别vCenter清单中属于虚拟线路的端口组。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络选项卡。
5在名称列中,单击要编辑的VXLAN虚拟线路。
6单击虚拟机选项卡。
7单击添加()图标。
8 在“将虚拟网卡连接到此网络”对话框的“搜索”字段中,键入虚拟机名称并单击.此时会显示虚拟机的所有虚拟网卡。
9选择要连接的虚拟网卡。
VMware,Inc. 49 vShield管理指南 10单击下一步。
11检查选定的虚拟网卡。
12单击完成。
测试VXLAN虚拟线路连接 可以对VXLAN虚拟线路执行ping或广播测试,以检查其连接以及物理基础架构对VXLAN的检测。
执行Ping测试 可以先从源主机对目标主机执行ping,然后再发送单播数据包。
1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络选项卡。
5在名称列中,单击要测试的VXLAN虚拟线路。
6单击主机选项卡。
7选择一个主机。
8单击更多操作( )图标,然后选择测试连接。
此时将打开“测试网络主机之间的连接”对话框。
在步骤7中选择的主机将显示在“源主机”字段中。
选择浏览可选择其他源主机。
9选择测试数据包的大小。
VXLAN标准大小为1550个字节(无碎片)(应与物理基础架构MTU匹配)。
在这一大小设置下,vShield可以检查连接并验证基础架构是否已为VXLAN流量做好准备。
最小数据包大小允许存在碎片。
在这一大小设置下,vShield只能检查连接,但不能检查基础架构是否已为更大的帧做好准备。
10在目标面板中,单击浏览主机。
11在“选择主机”对话框中,选择目标主机。
12单击选择。
13单击开始测试。
此时将显示主机对主机的ping测试结果。
执行广播测试 可以执行广播测试来解析MAC地址。
某一主机将向同一网络段内的所有其他设备发送广播消息。
1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络选项卡。
5在名称列中,单击要测试的虚拟线路。
6单击主机选项卡。
50 VMware,Inc. 章8VXLAN虚拟线路管理 7选择一个主机。
8单击更多操作( )图标,然后选择测试连接。
9在“测试网络主机之间的连接”对话框中,单击广播 在步骤7中选择的主机将显示在“源主机”字段中。
选择浏览可选择其他源主机。
10选择测试数据包的大小。
VXLAN标准大小为1550个字节(无碎片)(应与物理基础架构MTU匹配)。
在这一大小设置下,vShield可以检查连接并验证基础架构是否已为VXLAN流量做好准备。
最小数据包大小允许存在碎片。
在这一大小设置下,vShield可以检查基础架构连接,但不能检查基础架构是否已为更大的帧做好准备。
11单击开始测试。
此时将显示广播测试结果。
查看VXLAN虚拟线路的FlowMonitoring数据 FlowMonitoring是一个流量分析工具,可供您详细了解VXLAN虚拟线路上通过vShieldApp的流量。
FlowMonitoring输出定义哪些计算机正通过哪些应用程序交换数据。
此数据中包括会话数、数据包数和每个会话传输的字节数。
会话详细信息包括源、目标、会话方向、应用程序和正在使用的端口。
可以使用会话详细信息来创建防火墙的允许或阻止规则。
您可将FlowMonitoring作为取证工具来检测恶意服务和检查出站会话。
FlowMonitoring数据的有效期为两周。
只有在VXLAN虚拟线路群集中的主机上安装了vShieldApp后,才会提供FlowMonitoring数据。
有关详细信息,请参见第153页,第12章“vShieldAppFlowMonitoring”。
对VXLAN虚拟线路使用防火墙规则 vShieldApp通过实施访问策略为您的VXLAN虚拟线路提供防火墙保护。
有关详细信息,请参见第159页,第13章“vShieldAppFirewall管理”。
避免VXLAN虚拟线路上出现欺骗行为 与vCenterServer同步后,vShieldManager会从每个虚拟机上的VMwareTools中收集所有vCenter客户虚拟机的IP地址。
vShield不信任由虚拟机上的VMwareTools提供的所有IP地址。
如果虚拟机被攻击,则IP地址可能被假冒,恶意传输信息可能会绕过防火墙策略。
使用SpoofGuard,您可以授权VMwareTools报告的IP地址,并可以根据需要更改这些地址以防止欺骗。
SpoofGuard本身还信任从VMX文件和vSphereSDK收集的虚拟机的MAC地址。
通过从AppFirewall规则单独操作,可使用SpoofGuard阻止已确认为虚假的通信。
有关详细信息,请参见第165页,“使用SpoofGuard”。
编辑网络范围 可以编辑、扩展或缩减网络范围。
VMware,Inc. 51 vShield管理指南 查看和编辑网络范围 可以查看选定网络范围的VXLAN虚拟线路、群集以及可用的服务。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络范围选项卡。
此时会显示选定数据中心的所有网络范围。
5在名称列中,单击网络范围。
“摘要”选项卡将显示以下信息。
请单击相应部分中的编辑进行更改。
n“属性”部分将显示该网络范围的名称和描述以及基于该网络范围的VXLAN虚拟线路的数目。
n“网络范围”部分将显示该网络范围内的群集以及这些群集是否已为虚拟化网络做好准备(例如,这 些群集是否已映射到vDS)。
n“可用服务”部分将显示该网络范围可用的服务。
扩大网络范围 可以向网络范围中添加群集。
这将延伸所有现有的VXLAN虚拟线路,以便用于新添加的群集。
前提条件必须已准备好要添加到网络范围中的群集。
请参见第46页,“为VXLAN虚拟线路准备网络”。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络范围选项卡。
此时会显示选定数据中心的所有网络范围。
5在名称列中,单击某个网络范围。
6在范围详细信息中,单击扩展。
此时将打开“向网络范围中添加群集(扩展)”对话框。
7选择要添加到网络范围的群集。
8单击确定。
缩小网络范围 可以从网络范围中删除群集。
现有VXLAN虚拟线路可缩短以适应缩小后的范围。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
52 VMware,Inc. 章8VXLAN虚拟线路管理 3单击网络虚拟化选项卡。
4单击网络范围选项卡。
此时会显示选定数据中心的所有网络范围。
5在名称列中,单击网络范围。
6在范围详细信息中,单击缩小。
此时将打开“从网络范围中删除群集(缩小)”对话框。
7选择要从网络范围中删除的群集。
8单击确定。
编辑VXLAN虚拟线路 可以编辑VXLAN虚拟线路的名称和描述。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络选项卡。
5在名称列中,单击要编辑的VXLAN虚拟线路。
6单击编辑。
7进行所需更改。
8单击确定。
创建VXLAN虚拟线路方案示例 此方案的情形如下:公司ACMEEnterprise在数据中心(ACME_Datacenter)的两个群集上有多个ESX主机。
工程部门(位于端口组PG-Engineering上)和财务部门(位于端口组PG-Finance上)都在Cluster1上。
营销部门(PG-Marketing)在Cluster2上。
两个群集都由单个vCenterServer5.1管理。
图8‑2实施VXLAN虚拟线路前的ACMEEnterprise网络 Cluster1 Cluster2 虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机 虚拟机 PGEngineering PGFinance vDS1 物理交换机 PGMarketing vDS2物理交换机 Engineering:VLAN10:10.10.1.0/24Finance:VLAN20:10.20.1.0/24Marketing:VLAN30:10.30.1.0/24 VMware,Inc. 53 vShield管理指南 Cluster1上的ACME计算空间不足,而Cluster2未充分利用。
ACME网络管理员要求John管理员(ACME的虚拟化管理员)找出能够将工程部门扩展到Cluster2的方法,通过这种方法使同属于工程部门的虚拟机位于两个群集中,并且能够彼此通信。
这将通过延伸ACME的L2层,使ACME能够利用两个群集的计算容量。
如果John管理员使用传统方法解决此问题,他需要以特殊方式连接单独的VLAN以便使两个群集处于同一L2域中。
这可能需要ACME购买新的物理设备以分离流量,并可能导致诸如VLAN散乱、网络循环以及系统和管理开销等问题。
John管理员记得在VMworld2011上看过VXLAN虚拟线路演示,决定评估vShield5.1版本。
他认为通过跨dvSwitch1和dvSwitch2构建VXLAN虚拟线路可以延伸ACME的L2层。
图8‑3ACMEEnterprise实施VXLAN虚拟线路 Cluster1虚拟线路延伸跨越多个VLAN/子网 Cluster2 虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机 虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机 PGEngineering PGFinance vDS1 物理交换机 PGMarketing PGEngineering vDS2 物理交换机 Engineering:
VXLAN5000:10.10.1.0/24Finance:VXLAN5001:10.20.1.0/24Marketing:VXLAN5002:10.30.1.0/24 John管理员跨两个群集构建VXLAN虚拟线路后,他可以使用vMotion跨VDS迁移虚拟机。
54 VMware,Inc. 图8‑4VXLAN虚拟线路上的vMotionvMotion范围 vMotion范围 虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机 虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机 PGEngineering PGFinance vDS1 PGMarketing PGEngineering vDS2 章8VXLAN虚拟线路管理 Engineering:VXLAN5000:10.10.1.0/24Finance:VXLAN5001:10.20.1.0/24Marketing:VXLAN5002:10.30.1.0/24 我们来逐步了解一下John管理员在ACMEEnterprise上构建VXLAN虚拟线路所遵循的步骤。
John管理员将群集与DistributedSwitch相关联 John管理员必须将要加入虚拟化网络的每个群集映射到vDS。
将群集映射到交换机时,将为VXLAN虚拟线路启用群集中的每个主机。
前提条件1John管理员从ACMEvShieldManager管理员和ACME网络管理员分别获取分段ID池(4097-5010)和 多播地址范围(224.0.0.0到239.255.255.255)。
2John管理员为vCenterServer设置受管IP地址。
a选择Administration>vCenterServerSettings>RuntimeSettings。
b在vCenterServerManagedIP中,键入10.115.198.165。
c单击确定。
3John管理员可确保DHCP服务器在VXLAN传输VLAN上可用。
4John管理员验证dvSwitch1和dvSwitch2的版本是否相同以及是否来源于同一供应商。
步骤1在vSphereClient中,选择清单>主机和群集。
2在清单面板中选择ACME_Datacenter。
3单击网络虚拟化选项卡。
4确保您处于准备选项卡中。
5在“连接”中,单击编辑。
6在“为VXLAN网络连接准备基础架构”对话框中,选择Cluster1加入VXLAN虚拟线路。
7为dvSwitch1键入10以用作ACMEVXLAN传输VLAN。
VMware,Inc. 55 vShield管理指南 8单击下一步。
9在“指定传输属性”中,将1600作为dvSwitch1的最大传输单元(MTU)。
MTU是在一个数据包分为更小的数据包之前可在其中传输的最大数据量。
John管理员知道VXLAN虚拟线路流量帧由于封装原因在大小上稍微大些,因此每个交换机的MTU必须设置为1550或更大值。
10重复步骤5到步骤
7,然后选择Cluster2加入VXLAN虚拟线路。
11在“指定传输属性”中,为dvSwitch2键入20。
12将1600作为dvSwitch2的最大传输单元(MTU)。
13单击完成。
John管理员将Cluster1和Cluster2映射到相应的交换机后,为VXLAN虚拟线路准备这些群集中的主机:1将VXLAN内核模块和vmknic添加到Cluster1和Cluster2中的每个主机。
2在与VXLAN虚拟线路关联的vDS上将创建特定的dvPortGroup并将其与vmknic相连接。
John管理员为vShieldManager分配分段ID池和多播地址范围 John管理员必须指定接收到的分段ID池来隔离ABC公司的网络流量,并指定多播地址范围来帮助在网络中传播流量,以避免单个多播地址过载。
步骤1在vSphereClient中,选择清单>主机和群集。
2在清单面板中选择ABC_Datacenter。
3单击网络虚拟化选项卡。
4确保您处于准备选项卡中。
5单击分段ID选项卡。
6单击编辑。
此时将打开“编辑设置”对话框。
7在“分段ID池”中,键入500-510。
8在“多播地址”中,键入224.1.1.50-224.1.1.60。
9单击确定。
John管理员添加网络范围 支持VXLAN虚拟线路的物理网络称为网络范围。
网络范围是虚拟化网络跨越的计算直径。
步骤1在vSphereClient中,选择清单>主机和群集。
2在清单面板中选择ABC_Datacenter。
3单击网络虚拟化选项卡。
4单击网络范围选项卡。
5单击添加()图标。
此时将打开“添加网络范围”对话框。
6在“名称”中,键入ACMEScope。
56 VMware,Inc. 章8VXLAN虚拟线路管理 7在“描述”中,键入ScopecontainingACME'sclusters。
8选择要添加到网络范围的Cluster1和Cluster2。
9单击确定。
John管理员添加VXLAN虚拟线路 John管理员准备好VXLAN虚拟线路结构后,可以添加VXLAN虚拟线路。
VXLAN虚拟线路提供必要的网络连接抽象,以便VXLAN虚拟线路的vNIC始终使用VXLAN虚拟线路建立外部连接。
前提条件1已为VXLAN虚拟线路准备好ACME的网络。
2John管理员已添加了网络范围。
步骤1在vSphereClient中,选择清单>主机和群集。
2在清单面板中选择ABC_Datacenter。
3单击网络虚拟化选项卡。
4单击网络选项卡。
5单击添加图标。
6在“名称”中,键入ACMEvirtualwire。
7在“描述”中,键入VirtualwireforextendingACMEworktoCluster2。
8在网络范围中,选择ACME范围。
9检查范围详细信息。
10单击确定。
vShield可创建VXLAN虚拟线路,从而在dvSwitch1和dvSwitch2之间建立L2连接(通过VXLAN)。
下一步John管理员现在可将ACME生产虚拟机连接到VXLAN虚拟线路,并将VXLAN虚拟线路连接到vShieldEdge。
VMware,Inc. 57 vShield管理指南 58 VMware,Inc. vShieldEdge管理
9 vShieldEdge提供网络边缘安全和网关服务,用于隔离端口组、vDS端口组或Cisco®Nexus1000V中的虚拟机。
vShieldEdge通过提供DHCP、VPN、NAT和负载平衡等常见网关服务将隔离的末端网络连接到共享(上行链路)网络。
vShieldEdge通常部署在DMZ、VPN外联网和多租户云计算环境中,vShieldEdge在这些环境中为虚拟数据中心(VirtualDatacenter,VDC)提供外围安全保护。
本章讨论了以下主题:n第60页,“查看vShieldEdge的状态”n第60页,“配置vShieldEdge设置”n第60页,“管理设备”n第62页,“使用接口”n第65页,“使用证书”n第68页,“管理vShieldEdge防火墙”n第73页,“管理NAT规则”n第75页,“使用静态路由”n第76页,“管理DHCP服务”n第78页,“管理VPN服务”n第132页,“管理负载平衡器服务”n第137页,“关于高可用性”n第138页,“配置DNS服务器”n第138页,“配置远程Syslog服务器”n第139页,“更改CLI凭据”n第139页,“将vShieldEdge升级到大型或超大型”n第140页,“下载vShieldEdge的技术支持日志”n第140页,“将vShieldEdge与vShieldManager同步”n第140页,“重新部署vShieldEdge” VMware,Inc. 59 vShield管理指南 查看vShieldEdge的状态 状态页将显示流过所选vShieldEdge的接口的流量图以及防火墙与负载平衡器服务的连接统计信息。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5双击vShieldEdge实例可查看状态。
6单击状态选项卡。
配置vShieldEdge设置 “设置”页面上将显示选定vShieldEdge的详细信息。
步骤1在vSphereClient中,选择Inventory>HostsandClusters。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5单击配置选项卡。
6单击设置链接。
此时会显示vShieldEdge详细信息、针对vShieldEdge配置的服务以及HA和DNS配置。
下一步单击更改修改所需配置。
管理设备 可以添加、编辑或删除设备。
vShieldEdge实例将一直保持脱机状态,直到至少向其添加一个设备。
添加设备 在部署前必须向vShieldEdge至少添加一个设备。
步骤1在vSphereClient中,选择Inventory>HostsandClusters。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5单击配置选项卡。
6单击设置链接。
60 VMware,Inc. 7在EdgeAppliances中,单击Add()图标。
8在“添加Edge设备”对话框中,选择设备的群集或资源池和数据存储。
9(可选)选择设备将添加到的主机。
10(可选)选择设备将添加到的vCenter文件夹。
11单击添加。
更改设备 可以更改vShieldEdge设备。
步骤1在vSphereClient中,选择Inventory>HostsandClusters。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5单击配置选项卡。
6单击设置链接。
7在Edge设备中,选择要更改的设备。
8单击编辑()图标。
9在“编辑Edge设备”对话框中,进行适当的更改。
10单击Save。
删除设备 可以删除vShieldEdge设备。
步骤1在vSphereClient中,选择Inventory>HostsandClusters。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5单击配置选项卡。
6单击设置链接。
7在Edge设备中,选择要删除的设备。
8单击删除()图标。
章9vShieldEdge管理 VMware,Inc. 61 vShield管理指南 使用接口 可以将vShieldEdge安装到数据中心中,并添加最多十个内部或上行链路接口。
在部署vShieldEdge之前,它必须至少具有一个内部接口。
添加接口 您可以将多达十个内部和上行链路接口添加到vShieldEdge实例。
您必须至少添加一个内部接口才能使HA工作。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5双击一个vShieldEdge。
6单击配置选项卡。
7单击接口链接。
8单击添加()图标。
9在“添加Edge接口”对话框中,键入接口的名称。
10选择Internal或Uplink指明其是内部还是外部接口。
11选择该接口应连接到的端口组或VXLAN虚拟线路。
a单击连接到字段旁边的选择。
b根据要连接到接口的对象,单击虚拟线路、标准端口组或分布式端口组选项卡。
c选择相应的虚拟线路或端口组。
d单击选择。
12选择接口的连接状态。
13在配置子网中,单击添加()图标,以便为接口添加子网。
一个接口可以具有多个非重叠的子网。
14在添加子网中,单击添加()图标以添加IP地址。
如果输入多个IP地址,则可以选择主IP地址。
一个接口可以具有一个主IP地址和多个辅助IP地址。
vShieldEdge会将主IP地址视为用于本地生成的流量的源地址。
必须将IP地址添加到接口,才能在所有功能配置中使用该地址。
15为接口键入子网掩码,然后单击保存。
16根据需要更改默认MTU。
62 VMware,Inc. 17在Options中,选择所需的选项。
选项EnableProxyARPSendICMPRedirect 描述支持在不同的接口之间重叠网络转发。
将路由信息传输给主机。
18键入防护参数,然后单击Add。
19重复步骤8到步骤18,以添加其他接口。
更改接口设置 可以更改某个接口连接到的端口组或虚拟线路,以及更新接口的IP地址。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击Edge选项卡。
4双击一个vShieldEdge。
5单击配置选项卡。
6单击接口。
7单击编辑()图标。
8进行所需更改。
9单击Save。
删除接口 可以删除vShieldEdge接口。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5双击一个vShieldEdge。
6单击配置选项卡。
7单击接口链接。
8选择要删除的接口。
9单击删除()图标 章9vShieldEdge管理 VMware,Inc. 63 vShield管理指南 启用接口 必须为vShieldEdge启用接口才能隔离该接口(端口组或VXLAN虚拟线路)内的虚拟机。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5双击一个vShieldEdge实例。
6单击配置选项卡。
7单击接口链接。
8选择要启用的接口。
9单击启用()图标。
禁用接口 可以禁用接口步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5双击一个vShieldEdge实例。
6单击配置选项卡。
7单击接口链接8选择要禁用的接口。
9单击禁用图标。
64 VMware,Inc. 章9vShieldEdge管理 使用证书 vShieldEdge支持自签名证书、由证书颁发机构(CA)签名的证书以及由CA生成并签名的证书。
配置CA签名证书 您可以生成CSR并使其获得CA签名。
如果在全局级别生成CSR,则该CSR可用于清单中的所有vShieldEdge。
步骤1在vSphereClient中,选择清单>主机和群集。
选项生成全局证书 生成用于vShieldEdge的证书 描述 a单击vShieldManager清单面板中的Settings&Reports。
b单击SSL证书选项卡。
a从清单面板中选择一个数据中心资源。
b单击网络虚拟化选项卡。
c单击Edges链接。
d双击一个vShieldEdge。
e单击配置选项卡。
f单击证书链接。
g单击操作,然后选择生成CSR。
2键入组织单位和名称。
3键入组织的地点、街道、省/市/自治区和国家/地区。
4为主机之间的通信选择加密算法。
请注意,SSLVPN-Plus仅支持RSA证书。
5根据需要编辑默认密钥大小。
6对于全局证书,键入证书描述。
7单击生成(在全局级别)或确定(在vShieldEdge级别)。
此时生成CSR并显示在“证书”列表中。
8请求在线证书颁发机构为此CSR签名。
9导入签名证书。
选项在全局级别导入签名证书 生成用于vShieldEdge的证书 描述 a在vShieldManager用户界面的“SSL证书”选项卡中,单击导入签名证书的旁边)。
b单击浏览并选择CSR文件。
c选择证书类型。
d单击应用。
a复制签名证书的内容。
b在证书选项卡中,单击操作并选择导入证书。
c在“导入CSR”对话框中,粘贴签名证书的内容。
d单击确定。
此时CA签名证书将显示在证书列表中。
(位于 VMware,Inc. 65 vShield管理指南 添加CA证书 通过添加CA证书,您可以成为公司的临时CA。
然后,您就有权签署自己的证书。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5双击一个vShieldEdge实例。
6单击配置选项卡。
7单击证书链接。
8单击添加()图标并选择CA证书。
9将证书内容复制并粘贴到“证书内容”文本框中。
10键入CA证书的描述。
11单击确定。
此时您即可签署自己的证书。
配置自签名证书 可以创建、安装和管理自签名服务器证书。
前提条件确认您具有CA证书,以便签署自己的证书。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5双击一个vShieldEdge。
6单击配置选项卡。
7单击证书链接。
8按照以下步骤生成CSR。
a单击生成CSR()图标。
b在公用名称中,键入vShieldManager的I
要查看本文档的更新版本,请访问/support/pubs。
ZH_CN-001280-01 vShield管理指南 最新的技术文档可以从VMware网站下载:/support/VMware网站还提供最近的产品更新信息。
您如果对本文档有任何意见或建议,请把反馈信息提交至:docfeedback@ 版权所有©2010–2013VMware,Inc.保留所有权利。
本产品受美国和国际版权及知识产权法的保护。
VMware产品受一项或多项专利保护,有关专利详情,请访问。
VMware是VMware,Inc.在美国和/或其他法律辖区的注册商标或商标。
此处提到的所有其他商标和名称分别是其各自公司的商标。
VMware,Inc.3401HillviewAve.PaloAlto,CA94304 北京办公室北京市海淀区科学院南路2号融科资讯中心C座南8层 上海办公室上海市浦东新区浦东南路999号新梅联合广场23楼 广州办公室广州市天河北路233号中信广场7401室
2 VMware,Inc. 目录 vShield管理指南7 1vShield概述
9 关于vShield组件9迁移vShield组件11关于vShield组件上的VMwareTools11vShield通信所需的端口11 2vShieldManager用户界面基础13 登录vShieldManager用户界面13关于vShieldManager用户界面13 3管理系统设置15 编辑DNS服务器15编辑vShieldManager日期和时间16编辑LookupService详细信息16编辑vCenterServer16指定Syslog服务器17下载vShield的技术支持日志17添加SSL证书以识别vShieldManagerWeb服务18向vShieldManager添加Cisco交换机19使用服务和服务组19分组对象22 4用户管理29 配置SingleSignOn29管理用户权限30管理默认用户帐户30添加用户帐户31编辑用户帐户33更改用户角色33禁用或启用用户帐户34删除用户帐户34 5更新系统软件35 查看当前系统软件35上载更新35 VMware,Inc.
3 vShield管理指南 6备份vShieldManager数据37 按需备份vShieldManager数据37调度vShieldManager数据的备份38还原备份38 7系统事件和审核日志41 查看系统事件报告41vShieldManager虚拟设备事件41vShieldApp事件42关于Syslog格式43查看审核日志43 8VXLAN虚拟线路管理45 为VXLAN虚拟线路准备网络46创建VXLAN虚拟线路47将虚拟机连接到VXLAN虚拟线路49测试VXLAN虚拟线路连接50查看VXLAN虚拟线路的FlowMonitoring数据51对VXLAN虚拟线路使用防火墙规则51避免VXLAN虚拟线路上出现欺骗行为51编辑网络范围51编辑VXLAN虚拟线路53创建VXLAN虚拟线路方案示例53 9vShieldEdge管理59 查看vShieldEdge的状态60配置vShieldEdge设置60管理设备60使用接口62使用证书65管理vShieldEdge防火墙68管理NAT规则73使用静态路由75管理DHCP服务76管理VPN服务78管理负载平衡器服务132关于高可用性137配置DNS服务器138配置远程Syslog服务器138更改CLI凭据139将vShieldEdge升级到大型或超大型139下载vShieldEdge的技术支持日志140将vShieldEdge与vShieldManager同步140重新部署vShieldEdge140
4 VMware,Inc. 目录 10服务插入管理143 插入网络服务143更改服务优先级146编辑ServiceManager146删除ServiceManager146编辑服务147删除服务147编辑服务配置文件147删除服务配置文件148 11vShieldApp管理149 将vShieldApp系统事件发送到Syslog服务器149查看vShieldApp的当前系统状态150重新启动vShieldApp150强制vShieldApp与vShieldManager同步150通过vShieldApp界面查看流量统计信息150下载vShieldApp的技术支持日志151为vShieldAppFirewall配置故障安全模式151从vShieldApp保护中排除虚拟机151 12vShieldAppFlowMonitoring153 查看FlowMonitoring数据153在FlowMonitoring报告中添加或编辑AppFirewall规则156更改FlowMonitoring图表的日期范围157 13vShieldAppFirewall管理159 使用AppFirewall159使用防火墙规则161使用SpoofGuard165 14vShieldEndpoint事件和警报169 查看vShieldEndpoint状态169vShieldEndpoint警报170vShieldEndpoint事件170vShieldEndpoint审核消息171 15vShieldDataSecurity管理173 vShieldDataSecurity用户角色173定义数据安全策略174编辑数据安全策略176运行数据安全扫描176查看和下载报告177创建正则表达式177适用法规178可用内容刀片191 VMware,Inc.
5 vShield管理指南 支持的文件格式210 16故障排除215 对vShieldManager安装进行故障排除215对操作问题进行故障排除216对vShieldEdge问题进行故障排除217对vShieldEndpoint问题进行故障排除219对vShieldDataSecurity问题进行故障排除220 索引223
6 VMware,Inc. vShield管理指南 《vShield管理指南》将介绍如何使用vShieldManager用户界面以及vSphereClient插件来安装、配置、监视和维护VMware®vShield™系统。
此信息包括分步配置说明以及推荐的最佳实践。
目标读者 本手册专供要在VMwarevCenter环境中安装或使用vShield的用户使用。
本手册的目标读者为熟悉虚拟机技术和虚拟数据中心操作且经验丰富的系统管理员。
本手册假设您熟悉VMwareInfrastructure5.x,包括VMwareESX、vCenterServer和vSphereClient。
VMware,Inc.
7 vShield管理指南
8 VMware,Inc. vShield概述
1 VMware®vShield是专为VMwarevCenterServer与VMwareESX集成而构建的安全虚拟设备套件。
vShield是保护虚拟化数据中心免遭攻击的关键安全组件,可帮助您实现合规性所要求的目标。
本指南假设您对整个vShield系统具有管理员访问权限。
根据分配给用户的角色、权限和许可,vShieldManager用户界面中的可查看资源会有所不同。
如果无法查看屏幕或执行特定任务,请咨询您的vShield管理员。
n关于vShield组件第9页,vShield包括对保护虚拟机至关重要的组件和服务。
可通过基于Web的用户界面、vSphereClient插件、命令行界面(CLI)和RESTAPI配置vShield。
n迁移vShield组件第11页,vShieldManager和vShieldEdge虚拟设备可根据DRS和HA策略自动或手动执行迁移。
vShieldManager必须始终运行,因此在当前ESX主机执行重新启动或维护模式例程时都必须迁移vShieldManager。
n关于vShield组件上的VMwareTools第11页,每个vShield虚拟设备都包含VMwareTools。
请勿升级或卸载vShield虚拟设备附带的VMwareTools版本。
nvShield通信所需的端口第11页, 关于vShield组件 vShield包括对保护虚拟机至关重要的组件和服务。
可通过基于Web的用户界面、vSphereClient插件、命令行界面(CLI)和RESTAPI配置vShield。
要运行vShield,您需要一个vShieldManager虚拟机以及至少一个vShieldApp或vShieldEdge模块。
vShieldManager vShieldManager是vShield的集中式网络管理组件,可使用vSphereClient将其作为虚拟机从OVA进行安装。
使用vShieldManager用户界面,管理员可以安装、配置和维护vShield组件。
vShieldManager可在与vShieldApp和vShieldEdge模块不同的ESX主机上运行。
vShieldManager利用VMwareInfrastructureSDK显示vSphereClient清单面板的副本。
有关使用vShieldManager用户界面的详细信息,请参见第13页,第2章“vShieldManager用户界面基础”。
VMware,Inc.
9 vShield管理指南 vShieldEdge vShieldEdge提供网络边缘安全和网关服务,用于隔离端口组、vDS端口组或Cisco®Nexus1000V中的虚拟机。
vShieldEdge通过提供DHCP、VPN、NAT和负载平衡等常见网关服务将隔离的末端网络连接到共享(上行链路)网络。
vShieldEdge通常部署在DMZ、VPN外联网和多租户云计算环境中,vShieldEdge在这些环境中为虚拟数据中心(VirtualDatacenter,VDC)提供外围安全保护。
注意您必须获取评估或完全许可证才能使用vShieldEdge。
标准vShieldEdge服务(包含vCloudDirector) 高级vShieldEdge服务 n防火墙:支持的规则包括IP5元组配置(包含用于TCP、UDP和ICMP状态监测的IP地址和端口范围)。
n网络地址转换:分别用于控制源IP地址和目标IP地址以及TCP和UDP端口转换的独立控制项。
n动态主机配置协议(DynamicHostConfigurationProtocol,DHCP):配置IP池、网关、DNS服务器和搜索域。
n配置DNS服务器,以转发来自客户端和syslog服务器的名称解析请求。
n数据包要遵循的静态路由。
n点对点虚拟专用网络(VirtualPrivateNetwork,VPN):使用标准化IPsec协议设置与所有主要防火墙供应商进行交互操作。
n负载平衡:简单动态地配置虚拟IP地址和服务器组。
n高可用性:确保vShieldEdge设备在虚拟化网络上始终可用。
nSSLVPN-Plus:允许远程用户安全地连接到位于vShieldEdge网关后面的专用网络。
vShieldEdge支持将所有服务的syslog导出到远程服务器。
vShieldApp vShieldApp是一种内部vNIC级第2层防火墙,允许您创建不受网络拓扑限制的访问控制策略和在同一个VLAN中实现网络隔离。
vShieldApp监视ESX主机的所有传入和传出流量,包括同一端口组中虚拟机之间的流量。
vShieldApp支持流量分析和创建基于容器的策略。
容器可以是动态或静态的vCenter构造,例如数据中心或在vShieldManager中定义的对象(如安全组、IPset或MACset)。
vShieldApp支持多租户。
vShieldApp作为虚拟化管理程序模块和防火墙服务虚拟设备安装。
vShieldApp通过VMsafeAPI与ESX主机集成,可与DRS、vMotion、DPM和维护模式等VMwarevSphere平台功能协同运行。
vShieldApp通过在每个虚拟网络适配器上放置一个防火墙筛选器为各个虚拟机提供防火墙保护。
规则可以包含多个源、目标和应用程序。
防火墙筛选器以透明方式运行,不需要变更网络或修改IP地址来创建安全区域。
您可以使用vCenter容器(如数据中心、群集、资源池和vApp)或网络对象(如端口组和VLAN)编写访问规则,减少防火墙规则的数量并使这些规则更易于跟踪。
应当在群集中的所有ESX主机上安装vShieldApp实例,这样VMwarevMotion™操作便可以正常运行,且虚拟机在ESX主机之间迁移时仍会受到保护。
默认情况下,使用vMotion无法移动vShieldApp虚拟设备。
流量监视功能会显示应用程序协议级别允许和阻止的网络流量。
您可以使用此类信息来审核网络流量和对操作问题进行故障排除。
注意您必须获取评估或完全许可证才能使用vShieldApp。
10 VMware,Inc. 章1vShield概述 vShieldEndpoint vShieldEndpoint可将防病毒和防恶意软件代理处理任务转移到VMware合作伙伴提供的专用安全虚拟设备上。
由于安全虚拟设备(与客户机虚拟机不同)不会脱机,因此可以不断地更新防病毒签名,从而为主机上的虚拟机提供持续保护。
另外,还可以在新虚拟机(或处于脱机状态的现有虚拟机)联机时,立即使用最新防病毒签名保护这些虚拟机。
vShieldEndpoint可作为虚拟化管理程序模块和来自第三方防病毒供应商(VMware合作伙伴)的安全虚拟设备安装在ESX主机上。
注意您必须获取评估或完全许可证才能使用vShieldEndpoint。
vShieldDataSecurity 可通过vShieldDataSecurity查看存储在组织的虚拟化环境和云环境中的敏感数据。
根据vShieldDataSecurity报告的冲突,您可以确保敏感数据受到充分保护,并且能评估与周围环境中的法规是否相符。
迁移vShield组件 vShieldManager和vShieldEdge虚拟设备可根据DRS和HA策略自动或手动执行迁移。
vShieldManager必须始终运行,因此在当前ESX主机执行重新启动或维护模式例程时都必须迁移vShieldManager。
每个vShieldEdge应该连同其数据中心一起移动,从而保持安全设置和服务。
vShieldApp、vShieldEndpoint合作伙伴设备或vShieldDataSecurity不能移至其他ESX主机。
如果这些组件所驻留的ESX主机需要执行手动维护模式操作,则必须取消选中Movepoweredoffandsuspendedvirtualmachinestootherhostsinthecluster复选框,以确保这些虚拟设备不进行迁移。
这些服务会在ESX主机联机后重新启动。
关于vShield组件上的VMwareTools 每个vShield虚拟设备都包含VMwareTools。
请勿升级或卸载vShield虚拟设备附带的VMwareTools版本。
vShield通信所需的端口 vShield要求打开以下端口:n要部署的ESX主机、vCenterServer和vShield设备上的vShieldManager端口443nvShieldManager和vShieldApp之间用于时间同步的UDP123n来往于vCenterClient和ESX主机的902/TCP和903/TCPn用于使用RESTAPI调用的从REST客户端到vShieldManager的443/TCPn从80/TCP到443/TCP,用于使用vShieldManager用户界面并启动与vSphereSDK的连接n22/TCP,用于CLI故障排除 VMware,Inc. 11 vShield管理指南 12 VMware,Inc. vShieldManager用户界面基础
2 vShieldManager用户界面提供了专用于vShield的配置和数据查看选项。
vShieldManager利用VMwareInfrastructureSDK显示vSphereClient清单面板,以此提供vCenter环境的完整视图。
注意您可将vShieldManager注册为vSphereClient插件。
这样便可以在vSphereClient内配置vShield组件。
请参见《vShield安装和升级指南》中的“设置vShieldManager”。
n登录vShieldManager用户界面第13页,使用Web浏览器访问vShieldManager管理界面。
n关于vShieldManager用户界面第13页,vShieldManager用户界面可划分成两个面板:清单面板和配置面板。
从清单面板选择视图和资源,以在配置面板中打开可用详细信息和配置选项。
登录vShieldManager用户界面 使用Web浏览器访问vShieldManager管理界面。
步骤1打开Web浏览器窗口并键入分配给vShieldManager的IP地址。
vShieldManager用户界面将在SSL/HTTPS会话中打开(或者打开一个安全SSL会话)。
2接受安全证书。
注意建议使用SSL证书对vShieldManager进行验证。
请参见第18页,“添加SSL证书以识别vShieldManagerWeb服务”。
此时将显示vShieldManager登录屏幕。
3使用用户名admin和密码default登录vShieldManager用户界面。
应首先更改默认密码,以防止未授权的使用。
请参见第33页,“编辑用户帐户”。
4单击LogIn。
关于vShieldManager用户界面 vShieldManager用户界面可划分成两个面板:清单面板和配置面板。
从清单面板选择视图和资源,以在配置面板中打开可用详细信息和配置选项。
单击每个清单对象时,在配置面板中即会显示该清单对象的一组特定选项卡。
VMware,Inc. 13 vShield管理指南 nvShieldManager清单面板第14页,vShieldManager清单面板层次结构模仿vSphereClient清单层次结构。
nvShieldManager配置面板第14页,vShieldManager配置面板根据所选清单资源和vShield操作的输出显示可配置的设置。
每个资源都提供多个选项卡,每个选项卡都显示与资源相对应的信息或配置表单。
vShieldManager清单面板 vShieldManager清单面板层次结构模仿vSphereClient清单层次结构。
资源包括根文件夹、数据中心、群集、端口组、ESX主机和虚拟机。
因此,vShieldManager结合vCenterServer清单可提供虚拟部署的完整视图。
vShieldManager和vShieldApp虚拟机不显示在vShieldManager清单面板中。
vShieldManager设置是从清单面板顶部的Settings&Reports资源中配置的。
该清单面板提供多个视图:Hosts&Clusters、Networks以及Edges。
Hosts&Clusters视图显示清单中的数据中心、群集、资源池和ESX主机。
Networks视图显示清单中的VLAN网络和端口组。
Edges视图显示由vShieldEdge实例保护的端口组。
Hosts&Clusters和Networks视图与vSphereClient中相同的视图保持一致。
代表虚拟机和vShield组件的各图标,在vShieldManager和vSphereClient清单面板之间存在差别。
自定义图标用于显示vShield组件和虚拟机的区别,以及显示受保护和不受保护的虚拟机的区别。
表2‑1vShieldManager清单面板上的vShield虚拟机图标 图标 描述 已打开电源的受vShieldApp保护的虚拟机。
已打开电源的不受vShieldApp保护的虚拟机。
关闭电源的虚拟机。
断开连接的受保护虚拟机。
刷新清单面板 要刷新清单面板中的资源列表,请单击.该刷新操作请求接收来自vCenterServer的最新资源信息。
默认情况下,vShieldManager每5分钟请求接收一次来自vCenterServer的资源信息。
搜索清单面板 要搜索特定资源的清单面板,请在vShieldManager清单面板顶部的字段中键入一个字符串,然后单击. vShieldManager配置面板 vShieldManager配置面板根据所选清单资源和vShield操作的输出显示可配置的设置。
每个资源都提供多个选项卡,每个选项卡都显示与资源相对应的信息或配置表单。
由于每个资源的用途不同,因此某些选项卡特定于某些资源。
另外,某些选项卡还包含二级选项。
14 VMware,Inc. 管理系统设置
3 您可以编辑vCenterServer、DNS和NTP服务器,以及在初始登录过程中指定的查询服务器。
vShieldManager需要与vCenterServer和服务(例如DNS和NTP)进行通信,以提供有关VMwareInfrastructure清单的详细信息。
本章讨论了以下主题:n第15页,“编辑DNS服务器”n第16页,“编辑vShieldManager日期和时间”n第16页,“编辑LookupService详细信息”n第16页,“编辑vCenterServer”n第17页,“指定Syslog服务器”n第17页,“下载vShield的技术支持日志”n第18页,“添加SSL证书以识别vShieldManagerWeb服务”n第19页,“向vShieldManager添加Cisco交换机”n第19页,“使用服务和服务组”n第22页,“分组对象” 编辑DNS服务器 您可以更改在首次登录期间指定的DNS服务器。
主DNS服务器会显示在vShieldManager用户界面中。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击[配置]选项卡。
3确保您处于General选项卡中。
4单击DNSServers旁的Edit。
5进行适当更改。
6单击确定。
VMware,Inc. 15 vShield管理指南 编辑vShieldManager日期和时间 您可以更改在首次登录期间指定的NTP服务器。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击配置选项卡。
3确保您处于General选项卡中。
4单击NTPServer旁的Edit。
5进行适当更改。
6单击确定。
7重新引导vShieldManager。
编辑LookupService详细信息 您可以更改在首次登录期间指定的LookupService详细信息。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击配置选项卡。
3确保您处于General选项卡中。
4单击LookupService旁的Edit。
5进行适当更改。
6单击确定。
编辑vCenterServer 您可以更改在首次登录时将vShieldManager注册到的vCenterServer。
仅在更改当前vCenterServer的IP地址时才应进行该操作。
步骤1如果已登录vSphereClient,请注销。
2登录vShieldManager。
3单击vShieldManager清单面板中的Settings&Reports。
4单击Configuration选项卡。
5确保您处于General选项卡中。
6单击vCenterServer旁的Edit。
7进行适当更改。
8单击确定。
9登录vSphereClient。
10选择ESX主机。
16 VMware,Inc. 章3管理系统设置 11验证vShield是否显示为一个选项卡。
下一步您可以从vSphereClient安装和配置vShield组件。
指定Syslog服务器 如果指定syslog服务器,则vShieldManager会将所有审核日志和系统事件从vShieldManager发送至syslog服务器。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击[配置]选项卡。
3确保您处于General选项卡中。
4单击SyslogServer旁的Edit。
5键入syslog服务器的IP地址。
6(可选)键入syslog服务器的端口。
如果不指定端口,则会使用syslog服务器的IP地址/主机名的默认UDP端口。
7单击确定。
下载vShield的技术支持日志 您可以将vShieldManager审核日志和系统事件从vShield组件下载到您的PC。
审核日志指的是配置更改(例如防火墙配置更改)日志,而系统事件指的是vShieldManager运行期间在后台发生的事件。
例如,如果vShieldManager失去与一个vShieldApp或vShieldEdge设备的连接,则会记录一个系统事件。
审核日志和系统事件都通过syslog服务器在Info级别进行记录。
但是,系统事件具有内部严重性,为该系统事件发送syslog消息时会添加该内部严重性。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Configuration选项卡。
3单击Support。
4在TechSupportLogDownload下,单击相应的组件旁边的Initiate。
一旦启动,则会生成日志并将其上载到vShieldManager。
此操作可能需要几秒钟时间。
5准备好日志后,单击Download链接将该日志下载到您的PC。
该日志已压缩,其文件扩展名为.gz。
下一步您可以通过在保存文件的目录中浏览查找AllFiles来使用解压缩实用程序打开该日志。
VMware,Inc. 17 vShield管理指南 添加SSL证书以识别vShieldManagerWeb服务 您可以生成证书签名请求,使其由CA签名,然后将签名的SSL证书导入到vShieldManager以验证vShieldManagerWeb服务的身份,并对发送到vShieldManagerWeb服务器的信息进行加密。
作为安全方面的最佳实践,您应该使用生成证书选项生成私钥和公钥,其中私钥应保存到vShieldManager。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击[配置]选项卡。
3单击SSLCertificate。
4在GenerateCertificateSigningRequest下,通过填写以下字段完成表单: 选项CommonName OrganizationUnitOrganizationNameCityNameStateNameCountryCodeKeyAlgorithm KeySize 操作 键入vShieldManager的IP地址或完全限定域名(FQDN)。
VMware建议您输入FQDN。
输入订购该证书的公司部门。
输入公司的法定全称。
输入公司所在城市的全称。
输入公司所在省/市/自治区的全称。
输入代表您所在国家/地区的两位数代码。
例如,美国的代码为US。
从DSA或RSA中选择要使用的加密算法。
VMware建议选择RSA以实现向后兼容性。
选择在选定算法中使用的加密位数。
5单击Generate。
导入SSL证书 可导入预先存在或CA签署的SSL证书以供vShieldManager使用。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击[配置]选项卡。
3单击SSLCertificate。
4在ImportSignedCertificate下,单击CertificateFile旁边的Browse查找证书文件。
5从CertificateType下拉列表中选择证书文件类型。
如果适用,在导入CA签名证书前导入根证书和中间证书。
如果有多个中间证书,则将它们合并为单个文件,然后导入该文件。
6单击应用。
屏幕顶部会显示包含消息essfullyimportedcertificate的黄色栏。
7单击ApplyCertificate。
vShieldManager将重新启动以应用该证书。
证书将存储在vShieldManager中。
18 VMware,Inc. 章3管理系统设置 向vShieldManager添加Cisco交换机 您可以向vShieldManager添加Cisco交换机并管理其实施。
前提条件N1K交换机必须已安装在vCenterServer上。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2确保您处于Configuration选项卡中。
3单击Networking选项卡。
4单击AddSwitchProvider。
5键入交换机的名称。
6按以下格式键入可与该交换机通信的API接口:https://IP_of_VSM/n1k/services/NSM。
7键入您的N1K用户名和密码。
8单击确定。
交换机会添加到交换机提供程序表中。
使用服务和服务组 服务是协议-端口组合,服务组是一组服务。
创建服务 可以创建一个服务,然后为该服务定义规则。
步骤1执行以下操作之
一。
选项在全局范围创建服务 在数据中心范围创建服务在端口组范围创建服务在vShieldEdge范围创建服务 描述 a登录vShieldManager用户界面。
b单击Settings&Reports。
c单击ObjectLibrary。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择数据中心。
c单击vShield选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击网络虚拟化选项卡。
d单击Edge选项卡。
e双击一个vShieldEdge实例。
f单击配置选项卡。
2单击服务选项卡。
VMware,Inc. 19 vShield管理指南 3选择添加>服务。
4键入用来标识该服务的名称。
5键入对服务的描述。
6选择要向其添加非标准端口的协议。
7在端口中键入端口号。
8(可选)在全局或数据中心范围创建服务时,请选择启用继承以允许基础范围的可见性使该服务在基础范 围可用。
9单击确定。
该服务会显示在“服务”表中。
创建服务组 您可以在全局、数据中心或vShieldEdge级别创建服务组,然后为该服务组定义规则。
步骤1执行以下操作之
一。
选项在全局范围创建服务组 在数据中心范围创建服务组在端口组范围创建服务在vShieldEdge范围创建服务组 描述 a登录vShieldManager用户界面。
b单击Settings&Reports。
c单击ObjectLibrary。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击网络虚拟化选项卡。
d单击Edge选项卡。
e双击一个vShieldEdge实例。
f单击配置选项卡。
2单击服务选项卡。
3选择添加>服务组。
4键入用来标识服务组的名称。
5键入对服务的描述。
6在“成员”中,选择要添加到该组的服务或服务组。
7(可选)在全局或数据中心范围创建服务组时,请选择启用继承以允许基础范围的可见性使该服务组在基 础范围可用。
8单击确定。
该自定义服务组会显示在“服务”表中。
20 VMware,Inc. 章3管理系统设置 编辑服务或服务组 您可以编辑服务和服务组。
可以在定义服务或服务组的范围对其进行编辑。
例如,如果某服务定义在全局范围,则无法在vShieldEdge范围对其进行编辑。
步骤1执行以下操作之
一。
选项在全局范围编辑服务 在数据中心范围编辑服务在端口组范围编辑服务在vShieldEdge范围编辑服务 描述 a登录vShieldManager用户界面。
b单击Settings&Reports。
c单击ObjectLibrary。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击网络虚拟化选项卡。
d单击Edge选项卡。
e双击一个vShieldEdge实例。
f单击配置选项卡。
2单击服务选项卡。
3选择自定义服务或服务组,然后单击编辑()图标。
4进行适当更改。
5单击确定。
删除服务或服务组 您可以删除服务或服务组。
可以在定义服务或服务组的范围将其删除。
例如,如果某服务定义在全局范围,则无法在vShieldEdge范围将其删除。
步骤1执行以下操作之
一。
选项在全局范围删除服务 在数据中心范围删除服务 描述 a登录vShieldManager用户界面。
b单击Settings&Reports。
c单击ObjectLibrary。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
VMware,Inc. 21 vShield管理指南 选项在端口组范围删除服务 在vShieldEdge范围删除服务 描述 a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击网络虚拟化选项卡。
d单击Edge选项卡。
e双击一个vShieldEdge实例。
f单击配置选项卡。
2单击服务选项卡。
3选择自定义服务或服务组,然后单击删除()图标。
4单击是。
该服务或服务组将被删除。
分组对象 使用分组功能,您可以创建可指定虚拟机和网络适配器等资源的自定义容器,使之受AppFirewall保护。
定义组后,可以将该组作为源或目标添加到防火墙规则,使之受到保护。
使用IP地址组 创建IP地址组 您可以在全局、数据中心或vShieldEdge范围创建IP地址组,然后将该组作为源或目标添加在防火墙规则中。
该规则可帮助保护物理机不受虚拟机的影响,反之亦然。
步骤1执行以下操作之
一。
选项在全局范围创建IP地址组在数据中心范围创建IP地址组 在端口组范围创建IP地址组在vShieldEdge范围创建IP地址组 描述 a在vShieldManager用户界面中,单击vShieldManager清单面板中的ObjectLibrary。
b确保您处于Grouping选项卡中。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
d在“常规”选项卡中,选择分组选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击网络虚拟化选项卡。
d单击Edge选项卡。
e双击一个vShieldEdge实例。
f单击配置选项卡。
2单击分组对象选项卡。
22 VMware,Inc. 章3管理系统设置 3单击添加()图标并选择IP地址。
此时将打开AddIPAddresses窗口。
4键入地址组名称。
5(可选)键入地址组描述。
6键入要包含在组中的IP地址。
7(可选)在全局或数据中心范围创建IP地址组时,请选择启用继承以允许基础范围的可见性使该IP地址 组在基础范围可用。
8单击确定。
编辑IP地址组 可以在定义IP地址组的范围对其进行编辑。
例如,如果某IP地址组定义在全局范围,则无法在vShieldEdge范围对其进行编辑。
前提条件 步骤1执行以下操作之
一。
选项在全局范围编辑IP地址组在数据中心范围编辑IP地址组 在端口组范围编辑IP地址组在vShieldEdge范围编辑IP地址组 描述 a在vShieldManager用户界面中,单击vShieldManager清单面板中的ObjectLibrary。
b确保您处于Grouping选项卡中。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
d在“常规”选项卡中,选择分组选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击网络虚拟化选项卡。
d单击Edge选项卡。
e双击一个vShieldEdge实例。
f单击配置选项卡。
2单击分组对象选项卡。
3选择要编辑的组,然后单击编辑()图标。
4在“编辑IP地址”对话框中,进行适当的更改。
5单击确定。
VMware,Inc. 23 vShield管理指南 删除IP地址组 可以在定义IP地址组的范围将其删除。
例如,如果某IP地址组定义在全局范围,则无法在vShieldEdge范围将其删除。
步骤1执行以下操作之
一。
选项在全局范围删除IP地址组在数据中心范围删除IP地址组 在端口组范围删除IP地址组在vShieldEdge范围删除IP地址组 描述 a在vShieldManager用户界面中,单击vShieldManager清单面板中的ObjectLibrary。
b确保您处于Grouping选项卡中。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
d在“常规”选项卡中,选择分组选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击网络虚拟化选项卡。
d单击Edge选项卡。
e双击一个vShieldEdge实例。
f单击配置选项卡。
2单击分组对象选项卡。
3选择要删除的组,然后单击删除()图标。
使用MAC地址组 创建MAC地址组 您可以创建由一系列MAC地址组成的MAC地址组,然后将该组作为源或目标添加在vShieldAppFirewall规则中。
该规则可帮助保护物理机不受虚拟机的影响,反之亦然。
步骤1执行以下操作之
一。
选项在全局级别创建MAC地址组在数据中心级别创建MAC地址组 在端口组级别创建MAC地址 描述 a在vShieldManager用户界面中,单击vShieldManager清单面板中的ObjectLibrary。
b确保您处于Grouping选项卡中。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
d在“常规”选项卡中,选择分组选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
24 VMware,Inc. 章3管理系统设置 2单击添加()图标并选择MAC地址。
此时将打开“添加MAC地址”窗口。
3键入地址组名称。
4(可选)键入地址组描述。
5键入要包含在组中的MAC地址。
6如果希望MAC地址组向下传播至选定数据中心中的对象,请选择启用继承以允许在基础范围的可见性。
7单击确定。
编辑MAC地址组 可以在定义MAC地址组的范围对其进行编辑。
例如,如果某MAC地址组定义在全局范围,则无法在vShieldEdge范围对其进行编辑。
步骤1执行以下操作之
一。
选项在全局范围编辑MAC地址组在数据中心范围编辑MAC地址组 在端口组范围编辑MAC地址组在vShieldEdge范围编辑MAC地址组 描述 a在vShieldManager用户界面中,单击vShieldManager清单面板中的ObjectLibrary。
b确保您处于Grouping选项卡中。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
d在“常规”选项卡中,选择分组选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击网络虚拟化选项卡。
d单击Edge选项卡。
e双击一个vShieldEdge实例。
f单击配置选项卡。
2单击分组对象选项卡。
3选择要编辑的组,然后单击编辑()图标。
4在“编辑MAC地址”对话框中,进行适当的更改。
5单击确定。
VMware,Inc. 25 vShield管理指南 删除MAC地址组 可以在定义MAC地址组的范围将其删除。
例如,如果某MAC地址组定义在全局范围,则无法在vShieldEdge范围将其删除。
步骤1执行以下操作之
一。
选项在全局范围删除MAC地址组在数据中心范围删除MAC地址组 在端口组范围删除MAC地址组在vShieldEdge范围删除MAC地址组 描述 a在vShieldManager用户界面中,单击vShieldManager清单面板中的ObjectLibrary。
b确保您处于Grouping选项卡中。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
d在“常规”选项卡中,选择分组选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击网络虚拟化选项卡。
d单击Edge选项卡。
e双击一个vShieldEdge实例。
f单击配置选项卡。
2单击分组对象选项卡。
3选择要编辑的组,然后单击删除()图标。
使用安全组 创建安全组 在vSphereClient中,您可以在数据中心或端口组级别添加安全组。
安全组的范围仅限于创建该安全组的资源级别。
例如,如果在数据中心级别创建安全组,则只有在数据中心级别创建防火墙规则时,才可将该安全组作为源或目标进行添加。
如果为该数据中心内的端口组创建规则,则不能使用该安全组。
步骤1执行以下操作之
一。
选项在数据中心级别创建安全组 在端口组级别创建安全组 描述 a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
d在“常规”选项卡中,选择分组选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
d选择分组选项卡。
26 VMware,Inc. 章3管理系统设置 2单击Add,然后选择SecurityGroup。
此时将打开AddSecurityGroup窗口,且选定的数据中心将显示为Scope。
3键入此安全组的名称和描述。
4在Add按钮旁的字段中单击,然后选择要包含在安全组中的资源。
5在成员中,选择要添加到安全组的一个或多个资源。
将资源添加到安全组时,将自动添加所有关联的资源。
例如,选择虚拟机后,关联的虚拟网卡将自动添加到安全组中。
6单击确定。
编辑安全组 可以在定义安全组的范围对其进行编辑。
例如,如果某安全组定义在数据中心范围,则无法在端口组范围对其进行编辑。
步骤1执行以下操作之
一。
选项在数据中心级别编辑安全组 在端口组级别编辑安全组 描述 a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
d在“常规”选项卡中,选择分组选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
d选择分组选项卡。
2选择要编辑的组,然后单击编辑()图标。
3在“编辑安全组”对话框中,进行适当的更改。
4单击确定。
删除安全组 可以在定义安全组的范围将其删除。
例如,如果某安全组定义在数据中心范围,则无法在vShield端口组范围将其删除。
步骤1执行以下操作之
一。
选项在数据中心级别删除安全组 在端口组级别删除安全组 描述 a在vSphereClient中,转到清单>主机和群集。
b从清单面板中选择一个数据中心资源。
c单击vShield选项卡。
d在“常规”选项卡中,选择分组选项卡。
a在vSphereClient中,转至清单>网络。
b从清单面板中选择网络。
c单击vShield选项卡。
d选择分组选项卡。
VMware,Inc. 27 vShield管理指南 2选择要删除的组,然后单击删除()图标。
28 VMware,Inc. 用户管理
4 安全操作通常由多人管理。
根据特定的逻辑分类将整个系统委派给不同的人员管理。
然而,只有具有特定资源的适当权限的用户才有权执行任务。
在Users区域中,您可以通过授予适当的权限向用户委派此类资源管理。
vShield支持SingleSignOn(SSO),vShield通过它可以从诸如AD、NIS和LDAP等其他身份服务对用户进行身份验证。
vShieldManager用户界面中的用户管理与任何vShield组件的CLI中的用户管理都是分开的。
本章讨论了以下主题:n第29页,“配置SingleSignOn”n第30页,“管理用户权限”n第30页,“管理默认用户帐户”n第31页,“添加用户帐户”n第33页,“编辑用户帐户”n第33页,“更改用户角色”n第34页,“禁用或启用用户帐户”n第34页,“删除用户帐户” 配置SingleSignOn 将SingleSignOn服务与vShield集成在一起可提高vCenter用户进行用户身份验证的安全性,并使vShield可以通过诸如AD、NIS和LDAP等其他身份服务对用户进行身份验证。
通过SingleSignOn,vShield支持通过RESTAPI调用使用来自受信任源的经过身份验证的SAML令牌进行身份验证。
vShieldManager还可以获取身份验证SAML令牌以与其他VMware解决方案配合使用。
前提条件nSingleSignOn服务必须安装在vCenterServer上。
n您必须指定NTP服务器,使SingleSignOn服务器上的时间与vShieldManager上的时间保持同步。
请 参见《vShield安装和升级指南》中的“设置vShieldManager”。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击配置选项卡。
3确保您处于General选项卡中。
VMware,Inc. 29 vShield管理指南 4单击LookupService旁的Edit。
5键入具有LookupService的主机的名称或IP地址。
6根据需要更改端口号。
系统将根据指定的主机和端口显示LookupServiceURL。
7键入SSO用户名和密码。
这使vShieldManager可以在安全令牌服务服务器上对其自身进行注册。
8单击确定。
下一步为该SSO用户分配一个角色。
管理用户权限 在vShieldManager用户界面中,用户的角色定义允许用户对给定资源执行的操作。
角色决定用户获得授权可对给定资源执行的活动,从而确保用户只能执行完成适当操作必需的功能。
这样可以实现对特定资源的域控制,如果您的权限没有限制,还可实现系统范围的控制。
强制执行下列规则: n一个用户只能具有一个角色。
n不能将角色添加到用户或从用户中移除分配的角色。
但可以更改用户的分配角色。
表4‑1vShieldManager用户角色 权限 权限 Enterprise管理员 vShield操作和安全。
vShield管理员 仅vShield操作:例如,安装虚拟设备、配置端口组。
安全管理员 仅vShield安全:例如,定义数据安全策略、创建端口组、创建vShield模块的报告。
审核员 只读。
角色范围确定特定用户可以查看的资源。
以下范围适用于vShield用户。
表4‑2vShieldManager用户范围 范围 描述 无限制 可以访问整个vShield系统 将访问范围限制为以下选定端口组 可以访问指定的数据中心或端口组 Enterprise管理员和vShield管理员角色只能分配给vCenter用户,其访问范围是全局(无限制)。
管理默认用户帐户 vShieldManager用户界面包含一个本地用户帐户,此帐户具有对所有资源的访问权限。
您不能编辑此用户的权限或删除此用户。
默认用户名为admin,默认密码为default。
请在初始登录到vShieldManager时更改此帐户的密码。
请参见第33页,“编辑用户帐户”。
30 VMware,Inc. 章4用户管理 添加用户帐户 可以为vShield创建新的本地用户,或将角色分配给vCenter用户。
创建新的本地用户 1单击vShieldManager清单面板中的Settings&Reports。
2单击Users选项卡。
3单击添加。
此时将打开AssignRole窗口。
4单击CreateanewuserlocaltovShield。
5键入Email地址。
6键入LoginID。
此用户名用于登录到vShieldManager用户界面。
不能使用此用户名和关联的密码访问vShieldApp或vShieldManagerCLI。
7键入用户的FullName进行标识。
8键入用于登录的Password。
9在RetypePassword字段中再次键入该密码。
10单击下一步。
11为用户选择角色,然后单击Next。
有关可用角色的详细信息,请参见第30页,“管理用户权限”。
12为用户选择范围,然后单击Finish。
用户帐户将在Users表中显示。
将角色分配给vCenter用户 将角色分配给SSO用户时,vCenter通过在SSO服务器上配置的身份服务对该用户进行身份验证。
如果SSO服务器未配置或不可用,则用户在本地进行身份验证或基于vCenter配置通过ActiveDirectory进行身份验证。
1单击vShieldManager清单面板中的Settings&Reports。
2单击Users选项卡。
3单击添加。
此时将打开AssignRole窗口。
4单击SelectvCenteruser。
5键入用户的vCenterUser名称。
注意如果vCenter用户来自域(例如SSO用户),则必须输入完全限定的Windows域路径。
这将允许默认vShieldManager用户(管理员)以及SSO默认用户(管理员)登录vShieldManager。
此用户名用于登录vShieldManager用户界面,不能用于访问vShieldApp或vShieldManagerCLI。
6单击下一步。
7为用户选择角色,然后单击Next。
有关可用角色的详细信息,请参见第30页,“管理用户权限”。
VMware,Inc. 31 vShield管理指南 8为用户选择范围,然后单击Finish。
用户帐户将在Users表中显示。
了解基于组的角色分配 组织创建用户组以进行适当的用户管理。
与SingleSignOn(SSO)集成后,vShieldManager可以获得用户所属的组的详细信息。
无需将角色分配给属于相同组的各个用户,vShieldManager可以将角色分配给组。
我们来浏览一些方案以帮助了解vShieldManager如何分配角色。
示例:方案
1 组选项名称分配的角色资源 值G1审核员(只读)全局根 用户选项名称属于组分配的角色 值JohnG1无 John属于组G1,该组已被分配审核员角色。
John继承了组角色和资源权限。
示例:方案
2 组选项名称分配的角色资源 值G1审核员(只读)全局根 组选项名称分配的角色资源 值G2安全管理员(读和写)Datacenter1 用户选项名称属于组分配的角色 值JosephG1、G2无 Joseph属于组G1和G2,并且继承了审核员和安全管理员角色的组合权限。
例如,John拥有以下权限:n对Datacenter1的读、写(安全管理员角色)权限n对全局根的只读(审核员)权限 32 VMware,Inc. 示例:方案
3 组选项名称分配的角色资源 值G1企业管理员全局根 用户选项名称属于组分配的角色资源 值BobG1安全管理员(读和写)Datacenter1 Bob已被分配安全管理员角色,因此他未继承组角色权限。
Bob拥有以下权限n对Datacenter1及其子资源的读、写(安全管理员角色)权限nDatacenter1上的企业管理员角色 编辑用户帐户 可以编辑用户帐户来更改角色或范围。
但不能编辑admin帐户。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Users选项卡。
3选择要编辑的用户。
4单击编辑。
5根据需要进行更改。
6单击确定保存更改。
更改用户角色 可以为除admin用户之外的所有用户更改角色分配。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Users选项卡。
3选择要为其更改角色的用户4单击ChangeRole。
5根据需要进行更改。
6单击Finish保存更改。
VMware,Inc. 章4用户管理33 vShield管理指南 禁用或启用用户帐户 可以禁用某个用户帐户,以阻止该用户登录vShieldManager。
但不能禁用admin用户。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Users选项卡。
3选择用户帐户。
4执行以下操作之
一。
n单击Actions>Disableselecteduser(s)以禁用用户帐户。
n单击Actions>Enableselecteduser(s)以启用用户帐户。
删除用户帐户 您可以删除创建的任何用户帐户,但不能删除admin帐户。
已删除用户的审核记录会保留在数据库中,并可以在审核日志报告中进行引用。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Users选项卡。
3选择要删除的用户。
4单击Delete。
5单击确定确认删除。
如果删除vCenter用户帐户,则仅删除vShieldManager的角色分配。
不会删除vCenter上的用户帐户。
34 VMware,Inc. 更新系统软件
5 vShield软件需要定期更新以保持系统性能。
使用Updates选项卡选项,您可以安装并跟踪系统更新。
n查看当前系统软件第35页, 可以查看当前安装的vShield组件软件版本或验证是否在进行更新。
n上载更新第35页, vShield更新可按脱机更新的形式提供。
某一更新可用时,您可以将该更新下载到您的PC,并使用vShieldManager用户界面上传该更新。
查看当前系统软件 可以查看当前安装的vShield组件软件版本或验证是否在进行更新。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Updates选项卡。
3单击UpdateStatus。
上载更新 vShield更新可按脱机更新的形式提供。
某一更新可用时,您可以将该更新下载到您的PC,并使用vShieldManager用户界面上传该更新。
上载更新后,先更新vShieldManager,然后更新每个vShieldZones或vShieldApp实例。
如果需要重新引导vShieldManager或者vShieldZones或App,UpdateStatus屏幕会提示您重新引导该组件。
在必须重新引导vShieldManager和所有vShieldZones或App实例的情况下,必须先重新引导vShieldManager,然后重新引导每个vShieldZones或App。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Updates选项卡。
3单击UploadUpgradeBundle。
4单击Browse查找更新。
5找到文件后,单击UploadFile。
6单击UpdateStatus,然后单击Install。
VMware,Inc. 35 vShield管理指南 7单击ConfirmInstall确认安装更新。
此屏幕中显示两个表。
在安装期间,您可以查看顶部的表了解当前更新的说明、开始时间、成功状态和进程状态。
查看底部的表了解每个vShieldApp的更新状态。
当最后一个vShieldApp的状态显示为Finished时,所有vShieldApp都已升级。
8重新引导vShieldManager后,单击UpdateStatus选项卡。
9如果出现提示,单击RebootManager。
10单击FinishInstall完成系统更新。
11单击Confirm。
36 VMware,Inc. 备份vShieldManager数据
6 您可以备份和还原vShieldManager数据,其中可包含系统配置、事件和审核日志表。
配置表包含在每个备份中。
但是,您可以排除系统和审核日志事件。
保存备份的位置必须是vShieldManager可以访问的远程位置。
可根据调度执行备份或按需执行备份。
n按需备份vShieldManager数据第37页, 您随时可通过执行按需备份对vShieldManager数据进行备份。
n调度vShieldManager数据的备份第38页, 在任何给定时间只能调度一种备份类型的参数。
无法调度仅包含配置的备份与完整数据备份同时运行。
n还原备份第38页, 您只能在全新部署的vShieldManager设备上还原备份。
按需备份vShieldManager数据 您随时可通过执行按需备份对vShieldManager数据进行备份。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Configuration选项卡。
3单击Backups。
4(可选)如果不希望备份系统事件表,请选中ExcludeSystemEvents复选框。
5(可选)如果不希望备份审核日志表,请选中ExcludeAuditLogs复选框。
6键入将保存备份的系统的HostIPAddress。
7键入备份系统的HostName。
8键入登录到备份系统所需的UserName。
9键入与备份系统的用户名关联的Password。
10在BackupDirectory字段中,键入用于存储备份的绝对路径。
11在FilenamePrefix中键入一个文本字符串。
此文本将被预置到备份文件名中,以便在备份系统中识别这些备份文件。
例如,如果键入ppdb,则生成的备份的名称为ppdbHH_MM_SS_DayDDMonYYYY。
12输入PassPhrase以确保备份文件安全。
VMware,Inc. 37 vShield管理指南 13从TransferProtocol下拉菜单中,选择SFTP或FTP。
14单击Backup。
在完成备份后,该备份将显示在此表单下方的表中。
15单击SaveSettings保存配置。
调度vShieldManager数据的备份 在任何给定时间只能调度一种备份类型的参数。
无法调度仅包含配置的备份与完整数据备份同时运行。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Configuration选项卡。
3单击Backups。
4从ScheduledBackups下拉菜单中,选择On。
5从BackupFrequency下拉菜单中,选择Hourly、Daily或Weekly。
系统将根据所选的频率禁用DayofWeek、HourofDay和Minute下拉菜单。
例如,如果您选择Daily,则将禁用DayofWeek下拉菜单,因为此字段不适用于每天频率。
6(可选)如果不希望备份系统事件表,请选中ExcludeSystemEvents复选框。
7(可选)如果不希望备份审核日志表,请选中ExcludeAuditLog复选框。
8键入将保存备份的系统的HostIPAddress。
9(可选)键入备份系统的HostName。
10键入登录到备份系统所需的UserName。
11键入与备份系统的用户名关联的Password。
12在BackupDirectory字段中,键入用于存储备份的绝对路径。
13在FilenamePrefix中键入一个文本字符串。
此文本将被预置到每个备份文件名中,以便在备份系统中识别这些备份文件。
例如,如果键入ppdb,则生成的备份的名称为ppdbHH_MM_SS_DayDDMonYYYY。
14根据目标支持的内容,从TransferProtocol下拉菜单中选择SFTP或FTP。
15单击SaveSettings。
还原备份 您只能在全新部署的vShieldManager设备上还原备份。
要还原可用备份,Backups屏幕中的HostIPAddress、UserName、Password和BackupDirectory字段就必须包含用于识别要恢复的备份的位置的值。
如果备份文件包含系统事件数据和审核日志数据,则还将还原这些数据。
重要事项在还原备份文件前,请对您的当前数据进行备份。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击Configuration选项卡。
38 VMware,Inc. 3单击Backups。
4单击ViewBackups,查看已保存到备份服务器的所有可用备份。
5选中与要还原的备份对应的复选框。
6单击Restore。
7单击OK确认。
章6备份vShieldManager数据 VMware,Inc. 39 vShield管理指南 40 VMware,Inc. 系统事件和审核日志
7 系统事件指与vShield操作有关的事件。
生成事件的目的是详细记录每个操作事件,例如vShieldApp重新引导或vShieldApp和vShieldManager之间的通信中断。
这些事件可能与基本操作(信息事件)或重要错误(重要事件)相关。
本章讨论了以下主题:n第41页,“查看系统事件报告”n第41页,“vShieldManager虚拟设备事件”n第42页,“vShieldApp事件”n第43页,“关于Syslog格式”n第43页,“查看审核日志” 查看系统事件报告 vShieldManager会将系统事件汇总到报告中。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击SystemEvents选项卡。
3要对事件进行排序,请单击相应列标题旁边的或。
vShieldManager虚拟设备事件 以下事件特定于vShieldManager虚拟设备。
表7‑1vShieldManager虚拟设备事件 关闭电源 打开电源 本地CLI 运行showlogfollow命令。
运行showlogfollow命令。
GUI 不适用 不适用 界面关闭 运行showlogfollow命令。
不适用 界面启动 运行showlogfollow命令。
不适用 VMware,Inc. 41 vShield管理指南 表7‑2vShieldManager虚拟设备事件CPU 本地CLI 运行showprocessmonitor命令。
GUI 不适用 内存运行showsystemmemory命令。
存储器运行showfilesystem命令。
不适用 不适用 vShieldApp事件 以下事件特定于vShieldApp虚拟设备。
表7‑3vShieldApp事件关闭电源 打开电源 本地CLI 运行showlogfollow命令。
运行showlogfollow命令。
Syslog 不适用 请参见第43页,“关于Syslog格式”。
GUI 系统事件日志中的请参见第150页, “检测信号故障”事件。
请参见第41页,“查看系统事件报告”。
“查看vShieldApp的当前系统状态”。
界面关闭 运行showlogfollow命令。
e1000:mgmt:e1000_watchdog_task:NICLinkisUp/Down100MbpsFullDuplex.有关在syslog服务器上运行脚本的信息,请搜索NICLinkis。
请参见第150页,“查看vShieldApp的当前系统状态”。
界面启动 运行showlogfollow命令。
e1000:mgmt:e1000_watchdog_task:NICLinkisUp/Down100MbpsFullDuplex.有关在syslog服务器上运行脚本的信息,请搜索NICLinkis。
请参见第150页,“查看vShieldApp的当前系统状态”。
表7‑4vShieldApp设备状态事件 本地CLISyslog CPU 运行showprocessmonitor命令。
不适用 内存 运行showsystemmemory命令。
GUI 1从vShield 1从vShield Manager清单面板 Manager清单面板 中选择安装有 中选择安装有 vShieldApp的主 vShieldApp的主 机。
机。
2在ServiceVirtual2在ServiceVirtual Machines中,单 Machines中,单 击(位于vShieldApp虚拟机的旁边)。
击(位于vShieldApp虚拟机的旁边)。
存储器 运行showfilesystem命令。
不适用 1从vShieldManager清单面板中选择安装有vShieldApp的主机。
2在ServiceVirtualMachines中,单 击(位于vShieldApp虚拟机的旁边)。
由于DoS、不活动或者数据超时导致的会话重置 运行showlogfollow命令。
请参见第43页,“关于Syslog格式”。
1从vShieldManager清单面板中选择安装有vShieldApp的主机。
2在ServiceVirtualMachines中,单击(位于vShieldApp虚拟机的旁边)。
42 VMware,Inc. 章7系统事件和审核日志 关于Syslog格式 是否与SPOCK的格式相同? syslog中记录的系统事件消息的结构如下。
syslogheader(timestamp+hostname+sysmgr/)Timestamp(fromtheservice)Name/valuepairsNameandvalueseparatedbydelimiter'::'(doublecolons)Eachname/valuepairseparatedbydelimiter';;'(doublesemi-colons) 系统事件的字段和类型包含以下信息。
EventID::32bitunsignedintegerTimestamp::32bitunsignedintegerApplicationName::stringApplicationSubmodule::stringApplicationProfile::stringEventCode::integer(possiblevalues:1000710016Severity::string(possiblevalues:INFORMATIONLOWMessage:: 1004320019)MEDIUMHIGHCRITICAL) 查看审核日志 AuditLogs选项卡提供了由所有vShieldManager用户执行的操作的视图。
vShieldManager会将审核日志数据保留一年,之后将丢弃该数据。
步骤1单击vShieldManager清单面板中的Settings&Reports。
2单击AuditLogs选项卡。
3要查看某一审核日志的详细信息,请单击Operation列中的文本。
如果该审核日志有详细信息,则可以单 击Operation列中该日志所对应的文本。
4在AuditLogChangeDetails中,选择ChangedRows可以仅显示在执行该操作后值已发生更改的属性。
VMware,Inc. 43 vShield管理指南 44 VMware,Inc. VXLAN虚拟线路管理
8 在大型云部署中,虚拟网络中的应用程序可能需要逻辑隔离。
例如,一个三层应用程序可能包含多个要求在虚拟机之间使用逻辑隔离网络的虚拟机。
诸如VLAN(通过12位VLAN标识符实现4096个LAN分段)等传统网络隔离技术可能无法为这些部署提供足够的分段。
此外,基于VLAN的网络绑定到物理结构,其移动性受到限制。
vShieldVXLAN虚拟线路是可扩展的平面第2层网络分段。
该功能使您可以在任何可用的群集上部署应用程序并在更广泛的直径内传输虚拟机,从而带来网络灵活性。
基础技术称为VirtualeXtensibleLAN(即VXLAN),可定义24位LAN分段标识符,在云部署级别提供分段。
VXLAN虚拟线路使您可以通过不同子网中可重复的单元来扩展云部署。
虚拟机的交叉群集放置有助于完全利用网络资源,且无需任何物理重新接线。
因此,VXLAN虚拟线路可提供应用程序级别的隔离。
图8‑1VXLAN虚拟线路概览 虚拟网络 虚拟机 虚拟机 虚拟机 虚拟线路 虚拟机 DistributedSwitch VXLAN 虚拟机 您必须是安全管理员才能创建VXLAN虚拟线路。
本章讨论了以下主题:n第46页,“为VXLAN虚拟线路准备网络”n第47页,“创建VXLAN虚拟线路”n第49页,“将虚拟机连接到VXLAN虚拟线路”n第50页,“测试VXLAN虚拟线路连接”n第51页,“查看VXLAN虚拟线路的FlowMonitoring数据” VMware,Inc. 45 vShield管理指南 n第51页,“对VXLAN虚拟线路使用防火墙规则”n第51页,“避免VXLAN虚拟线路上出现欺骗行为”n第51页,“编辑网络范围”n第53页,“编辑VXLAN虚拟线路”n第53页,“创建VXLAN虚拟线路方案示例” 为VXLAN虚拟线路准备网络 您必须通过指定传输VLAN和启用IP多播来为VXLAN虚拟线路准备网络。
这些准备步骤仅需完成一次,然后可以创建多个VXLAN虚拟线路。
前提条件检查以下对照表来准备在网络中创建VXLAN虚拟线路:n确保您拥有以下软件版本 nVMwarevCenterServer5.1或更高版本n每个服务器上为VMwareESX5.1或更高版本nvSphereDistributedSwitch5.1或更高版本n物理基础架构MTU必须至少比虚拟机vNIC的MTU大50字节n从您的网络管理员那里和分段ID池中获取多播地址范围n在vCenterServer运行时设置中为每个vCenterServer设置受管IP地址。
有关详细信息,请参见《vCenterServer和主机管理》。
n验证DHCP在VXLAN传输VLAN上是否可用n对于链路聚合控制协议(LACP),必须启用5元组哈希分布 将群集与DistributedSwitch相关联 必须将要加入虚拟化网络的每个群集映射到vDS。
将群集映射到交换机时,会为VXLAN虚拟线路启用该群集中的每个主机。
前提条件VMware建议您在指定的网络范围内使用一致的交换机类型(供应商等)和版本。
交换机类型不一致会导致VXLAN虚拟线路中出现未定义行为。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4确保您处于准备选项卡中。
5在“连接”中,单击编辑。
此时会显示为VXLAN网络准备基础架构对话框。
6选择要加入虚拟网络的群集。
7对于每个选定的群集,键入用于VXLAN传输的VLAN。
有关检索VXLAN的VLANID的信息,请参见《vSphere网络》文档。
46 VMware,Inc. 章8VXLAN虚拟线路管理 8单击下一步。
9在“指定传输属性”中,为每个虚拟DistributedSwitch键入最大传输单元(MTU)。
MTU是在一个数据 包分为更小的数据包之前可在其中传输的最大数据量。
VXLAN流量帧由于封装原因在大小上稍微大些,因此每个交换机的MTU必须设置为1550或更大值。
10单击完成。
您现在已集中计算资源,并且准备好按需创建VXLAN虚拟线路。
将分段ID池和多播地址范围分配给vShieldManager 您必须指定分段ID池来隔离网络流量,并指定多播地址范围来帮助在网络中传播流量,以避免单个多播地址过载。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4确保您处于准备选项卡中。
5单击分段ID选项卡。
6单击编辑。
此时将打开“编辑设置”对话框。
7键入分段ID的范围。
例如5000-5200。
8键入地址范围。
例如224.1.1.50-224.1.1.60。
9单击确定。
创建VXLAN虚拟线路 前提条件您的网络已为VXLAN虚拟线路做好准备。
添加网络范围 网络范围是您的虚拟化网络跨越的计算直径,并且可能包含多个VXLAN虚拟线路。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络范围选项卡。
5单击添加()图标。
此时将打开“添加网络范围”对话框。
6键入网络范围的名称。
7键入网络范围的描述。
VMware,Inc. 47 vShield管理指南 8选择要添加到网络范围的群集。
9单击确定。
添加VXLAN虚拟线路 准备好VXLAN结构后,可以添加VXLAN虚拟线路。
VXLAN虚拟线路提供必要的网络连接抽象,以便虚拟机的vNIC始终使用VXLAN虚拟线路建立外部连接。
前提条件1您的网络已为VXLAN虚拟线路做好准备。
2您已经添加了网络范围。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络选项卡。
5单击添加图标。
6键入VXLAN虚拟线路的名称。
7键入VXLAN虚拟线路的描述。
8选择要在其中创建虚拟化网络的网络范围。
“范围详细信息”面板会显示属于选定网络范围的群集,以及 可供在该范围内部署的服务。
9单击确定。
下一步在“名称”列中单击VXLAN虚拟线路可查看虚拟线路详细信息。
将VXLAN虚拟线路连接到vShieldEdge 将VXLAN虚拟线路连接到vShieldEdge接口可隔离该VXLAN虚拟线路并提供网络边缘安全。
步骤 1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络选项卡。
5选择要连接到vShieldEdge的VXLAN虚拟线路。
6单击更多操作( )图标并选择连接到Edge。
7选择要将VXLAN虚拟线路连接到的vShieldEdge。
8单击选择。
9在“重定向到选定的Edge”对话框中,单击继续。
10在“编辑Edge接口”对话框中,键入vShieldEdge接口的名称。
48 VMware,Inc. 章8VXLAN虚拟线路管理 11选择内部或上行链路指明其是内部接口还是上行链路接口。
VXLAN虚拟线路通常连接到内部接口。
12VXLAN虚拟线路名称会显示在已连接到区域中。
13选择接口的连接状态。
14如果您要将VXLAN虚拟线路连接到的vShieldEdge选择了“手动HA配置”,请以CIDR格式指定两 个管理IP地址。
15根据需要编辑默认MTU。
16单击确定。
在VXLAN虚拟线路上部署服务 您可以在VXLAN虚拟线路上部署第三方服务。
前提条件有关将服务添加到vShieldManager的信息,请参见第143页,“插入网络服务”。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络选项卡。
5在名称列中,单击要在其上部署服务的虚拟线路。
6在可用服务面板中,单击启用服务。
7在“向该网络应用服务配置文件”对话框中,选择要应用的服务和服务配置文件。
8单击应用。
将虚拟机连接到VXLAN虚拟线路 可以将虚拟机与VXLAN虚拟线路连接。
这样可使您轻松识别vCenter清单中属于虚拟线路的端口组。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络选项卡。
5在名称列中,单击要编辑的VXLAN虚拟线路。
6单击虚拟机选项卡。
7单击添加()图标。
8 在“将虚拟网卡连接到此网络”对话框的“搜索”字段中,键入虚拟机名称并单击.此时会显示虚拟机的所有虚拟网卡。
9选择要连接的虚拟网卡。
VMware,Inc. 49 vShield管理指南 10单击下一步。
11检查选定的虚拟网卡。
12单击完成。
测试VXLAN虚拟线路连接 可以对VXLAN虚拟线路执行ping或广播测试,以检查其连接以及物理基础架构对VXLAN的检测。
执行Ping测试 可以先从源主机对目标主机执行ping,然后再发送单播数据包。
1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络选项卡。
5在名称列中,单击要测试的VXLAN虚拟线路。
6单击主机选项卡。
7选择一个主机。
8单击更多操作( )图标,然后选择测试连接。
此时将打开“测试网络主机之间的连接”对话框。
在步骤7中选择的主机将显示在“源主机”字段中。
选择浏览可选择其他源主机。
9选择测试数据包的大小。
VXLAN标准大小为1550个字节(无碎片)(应与物理基础架构MTU匹配)。
在这一大小设置下,vShield可以检查连接并验证基础架构是否已为VXLAN流量做好准备。
最小数据包大小允许存在碎片。
在这一大小设置下,vShield只能检查连接,但不能检查基础架构是否已为更大的帧做好准备。
10在目标面板中,单击浏览主机。
11在“选择主机”对话框中,选择目标主机。
12单击选择。
13单击开始测试。
此时将显示主机对主机的ping测试结果。
执行广播测试 可以执行广播测试来解析MAC地址。
某一主机将向同一网络段内的所有其他设备发送广播消息。
1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络选项卡。
5在名称列中,单击要测试的虚拟线路。
6单击主机选项卡。
50 VMware,Inc. 章8VXLAN虚拟线路管理 7选择一个主机。
8单击更多操作( )图标,然后选择测试连接。
9在“测试网络主机之间的连接”对话框中,单击广播 在步骤7中选择的主机将显示在“源主机”字段中。
选择浏览可选择其他源主机。
10选择测试数据包的大小。
VXLAN标准大小为1550个字节(无碎片)(应与物理基础架构MTU匹配)。
在这一大小设置下,vShield可以检查连接并验证基础架构是否已为VXLAN流量做好准备。
最小数据包大小允许存在碎片。
在这一大小设置下,vShield可以检查基础架构连接,但不能检查基础架构是否已为更大的帧做好准备。
11单击开始测试。
此时将显示广播测试结果。
查看VXLAN虚拟线路的FlowMonitoring数据 FlowMonitoring是一个流量分析工具,可供您详细了解VXLAN虚拟线路上通过vShieldApp的流量。
FlowMonitoring输出定义哪些计算机正通过哪些应用程序交换数据。
此数据中包括会话数、数据包数和每个会话传输的字节数。
会话详细信息包括源、目标、会话方向、应用程序和正在使用的端口。
可以使用会话详细信息来创建防火墙的允许或阻止规则。
您可将FlowMonitoring作为取证工具来检测恶意服务和检查出站会话。
FlowMonitoring数据的有效期为两周。
只有在VXLAN虚拟线路群集中的主机上安装了vShieldApp后,才会提供FlowMonitoring数据。
有关详细信息,请参见第153页,第12章“vShieldAppFlowMonitoring”。
对VXLAN虚拟线路使用防火墙规则 vShieldApp通过实施访问策略为您的VXLAN虚拟线路提供防火墙保护。
有关详细信息,请参见第159页,第13章“vShieldAppFirewall管理”。
避免VXLAN虚拟线路上出现欺骗行为 与vCenterServer同步后,vShieldManager会从每个虚拟机上的VMwareTools中收集所有vCenter客户虚拟机的IP地址。
vShield不信任由虚拟机上的VMwareTools提供的所有IP地址。
如果虚拟机被攻击,则IP地址可能被假冒,恶意传输信息可能会绕过防火墙策略。
使用SpoofGuard,您可以授权VMwareTools报告的IP地址,并可以根据需要更改这些地址以防止欺骗。
SpoofGuard本身还信任从VMX文件和vSphereSDK收集的虚拟机的MAC地址。
通过从AppFirewall规则单独操作,可使用SpoofGuard阻止已确认为虚假的通信。
有关详细信息,请参见第165页,“使用SpoofGuard”。
编辑网络范围 可以编辑、扩展或缩减网络范围。
VMware,Inc. 51 vShield管理指南 查看和编辑网络范围 可以查看选定网络范围的VXLAN虚拟线路、群集以及可用的服务。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络范围选项卡。
此时会显示选定数据中心的所有网络范围。
5在名称列中,单击网络范围。
“摘要”选项卡将显示以下信息。
请单击相应部分中的编辑进行更改。
n“属性”部分将显示该网络范围的名称和描述以及基于该网络范围的VXLAN虚拟线路的数目。
n“网络范围”部分将显示该网络范围内的群集以及这些群集是否已为虚拟化网络做好准备(例如,这 些群集是否已映射到vDS)。
n“可用服务”部分将显示该网络范围可用的服务。
扩大网络范围 可以向网络范围中添加群集。
这将延伸所有现有的VXLAN虚拟线路,以便用于新添加的群集。
前提条件必须已准备好要添加到网络范围中的群集。
请参见第46页,“为VXLAN虚拟线路准备网络”。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络范围选项卡。
此时会显示选定数据中心的所有网络范围。
5在名称列中,单击某个网络范围。
6在范围详细信息中,单击扩展。
此时将打开“向网络范围中添加群集(扩展)”对话框。
7选择要添加到网络范围的群集。
8单击确定。
缩小网络范围 可以从网络范围中删除群集。
现有VXLAN虚拟线路可缩短以适应缩小后的范围。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
52 VMware,Inc. 章8VXLAN虚拟线路管理 3单击网络虚拟化选项卡。
4单击网络范围选项卡。
此时会显示选定数据中心的所有网络范围。
5在名称列中,单击网络范围。
6在范围详细信息中,单击缩小。
此时将打开“从网络范围中删除群集(缩小)”对话框。
7选择要从网络范围中删除的群集。
8单击确定。
编辑VXLAN虚拟线路 可以编辑VXLAN虚拟线路的名称和描述。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击网络选项卡。
5在名称列中,单击要编辑的VXLAN虚拟线路。
6单击编辑。
7进行所需更改。
8单击确定。
创建VXLAN虚拟线路方案示例 此方案的情形如下:公司ACMEEnterprise在数据中心(ACME_Datacenter)的两个群集上有多个ESX主机。
工程部门(位于端口组PG-Engineering上)和财务部门(位于端口组PG-Finance上)都在Cluster1上。
营销部门(PG-Marketing)在Cluster2上。
两个群集都由单个vCenterServer5.1管理。
图8‑2实施VXLAN虚拟线路前的ACMEEnterprise网络 Cluster1 Cluster2 虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机 虚拟机 PGEngineering PGFinance vDS1 物理交换机 PGMarketing vDS2物理交换机 Engineering:VLAN10:10.10.1.0/24Finance:VLAN20:10.20.1.0/24Marketing:VLAN30:10.30.1.0/24 VMware,Inc. 53 vShield管理指南 Cluster1上的ACME计算空间不足,而Cluster2未充分利用。
ACME网络管理员要求John管理员(ACME的虚拟化管理员)找出能够将工程部门扩展到Cluster2的方法,通过这种方法使同属于工程部门的虚拟机位于两个群集中,并且能够彼此通信。
这将通过延伸ACME的L2层,使ACME能够利用两个群集的计算容量。
如果John管理员使用传统方法解决此问题,他需要以特殊方式连接单独的VLAN以便使两个群集处于同一L2域中。
这可能需要ACME购买新的物理设备以分离流量,并可能导致诸如VLAN散乱、网络循环以及系统和管理开销等问题。
John管理员记得在VMworld2011上看过VXLAN虚拟线路演示,决定评估vShield5.1版本。
他认为通过跨dvSwitch1和dvSwitch2构建VXLAN虚拟线路可以延伸ACME的L2层。
图8‑3ACMEEnterprise实施VXLAN虚拟线路 Cluster1虚拟线路延伸跨越多个VLAN/子网 Cluster2 虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机 虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机 PGEngineering PGFinance vDS1 物理交换机 PGMarketing PGEngineering vDS2 物理交换机 Engineering:
VXLAN5000:10.10.1.0/24Finance:VXLAN5001:10.20.1.0/24Marketing:VXLAN5002:10.30.1.0/24 John管理员跨两个群集构建VXLAN虚拟线路后,他可以使用vMotion跨VDS迁移虚拟机。
54 VMware,Inc. 图8‑4VXLAN虚拟线路上的vMotionvMotion范围 vMotion范围 虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机 虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机 PGEngineering PGFinance vDS1 PGMarketing PGEngineering vDS2 章8VXLAN虚拟线路管理 Engineering:VXLAN5000:10.10.1.0/24Finance:VXLAN5001:10.20.1.0/24Marketing:VXLAN5002:10.30.1.0/24 我们来逐步了解一下John管理员在ACMEEnterprise上构建VXLAN虚拟线路所遵循的步骤。
John管理员将群集与DistributedSwitch相关联 John管理员必须将要加入虚拟化网络的每个群集映射到vDS。
将群集映射到交换机时,将为VXLAN虚拟线路启用群集中的每个主机。
前提条件1John管理员从ACMEvShieldManager管理员和ACME网络管理员分别获取分段ID池(4097-5010)和 多播地址范围(224.0.0.0到239.255.255.255)。
2John管理员为vCenterServer设置受管IP地址。
a选择Administration>vCenterServerSettings>RuntimeSettings。
b在vCenterServerManagedIP中,键入10.115.198.165。
c单击确定。
3John管理员可确保DHCP服务器在VXLAN传输VLAN上可用。
4John管理员验证dvSwitch1和dvSwitch2的版本是否相同以及是否来源于同一供应商。
步骤1在vSphereClient中,选择清单>主机和群集。
2在清单面板中选择ACME_Datacenter。
3单击网络虚拟化选项卡。
4确保您处于准备选项卡中。
5在“连接”中,单击编辑。
6在“为VXLAN网络连接准备基础架构”对话框中,选择Cluster1加入VXLAN虚拟线路。
7为dvSwitch1键入10以用作ACMEVXLAN传输VLAN。
VMware,Inc. 55 vShield管理指南 8单击下一步。
9在“指定传输属性”中,将1600作为dvSwitch1的最大传输单元(MTU)。
MTU是在一个数据包分为更小的数据包之前可在其中传输的最大数据量。
John管理员知道VXLAN虚拟线路流量帧由于封装原因在大小上稍微大些,因此每个交换机的MTU必须设置为1550或更大值。
10重复步骤5到步骤
7,然后选择Cluster2加入VXLAN虚拟线路。
11在“指定传输属性”中,为dvSwitch2键入20。
12将1600作为dvSwitch2的最大传输单元(MTU)。
13单击完成。
John管理员将Cluster1和Cluster2映射到相应的交换机后,为VXLAN虚拟线路准备这些群集中的主机:1将VXLAN内核模块和vmknic添加到Cluster1和Cluster2中的每个主机。
2在与VXLAN虚拟线路关联的vDS上将创建特定的dvPortGroup并将其与vmknic相连接。
John管理员为vShieldManager分配分段ID池和多播地址范围 John管理员必须指定接收到的分段ID池来隔离ABC公司的网络流量,并指定多播地址范围来帮助在网络中传播流量,以避免单个多播地址过载。
步骤1在vSphereClient中,选择清单>主机和群集。
2在清单面板中选择ABC_Datacenter。
3单击网络虚拟化选项卡。
4确保您处于准备选项卡中。
5单击分段ID选项卡。
6单击编辑。
此时将打开“编辑设置”对话框。
7在“分段ID池”中,键入500-510。
8在“多播地址”中,键入224.1.1.50-224.1.1.60。
9单击确定。
John管理员添加网络范围 支持VXLAN虚拟线路的物理网络称为网络范围。
网络范围是虚拟化网络跨越的计算直径。
步骤1在vSphereClient中,选择清单>主机和群集。
2在清单面板中选择ABC_Datacenter。
3单击网络虚拟化选项卡。
4单击网络范围选项卡。
5单击添加()图标。
此时将打开“添加网络范围”对话框。
6在“名称”中,键入ACMEScope。
56 VMware,Inc. 章8VXLAN虚拟线路管理 7在“描述”中,键入ScopecontainingACME'sclusters。
8选择要添加到网络范围的Cluster1和Cluster2。
9单击确定。
John管理员添加VXLAN虚拟线路 John管理员准备好VXLAN虚拟线路结构后,可以添加VXLAN虚拟线路。
VXLAN虚拟线路提供必要的网络连接抽象,以便VXLAN虚拟线路的vNIC始终使用VXLAN虚拟线路建立外部连接。
前提条件1已为VXLAN虚拟线路准备好ACME的网络。
2John管理员已添加了网络范围。
步骤1在vSphereClient中,选择清单>主机和群集。
2在清单面板中选择ABC_Datacenter。
3单击网络虚拟化选项卡。
4单击网络选项卡。
5单击添加图标。
6在“名称”中,键入ACMEvirtualwire。
7在“描述”中,键入VirtualwireforextendingACMEworktoCluster2。
8在网络范围中,选择ACME范围。
9检查范围详细信息。
10单击确定。
vShield可创建VXLAN虚拟线路,从而在dvSwitch1和dvSwitch2之间建立L2连接(通过VXLAN)。
下一步John管理员现在可将ACME生产虚拟机连接到VXLAN虚拟线路,并将VXLAN虚拟线路连接到vShieldEdge。
VMware,Inc. 57 vShield管理指南 58 VMware,Inc. vShieldEdge管理
9 vShieldEdge提供网络边缘安全和网关服务,用于隔离端口组、vDS端口组或Cisco®Nexus1000V中的虚拟机。
vShieldEdge通过提供DHCP、VPN、NAT和负载平衡等常见网关服务将隔离的末端网络连接到共享(上行链路)网络。
vShieldEdge通常部署在DMZ、VPN外联网和多租户云计算环境中,vShieldEdge在这些环境中为虚拟数据中心(VirtualDatacenter,VDC)提供外围安全保护。
本章讨论了以下主题:n第60页,“查看vShieldEdge的状态”n第60页,“配置vShieldEdge设置”n第60页,“管理设备”n第62页,“使用接口”n第65页,“使用证书”n第68页,“管理vShieldEdge防火墙”n第73页,“管理NAT规则”n第75页,“使用静态路由”n第76页,“管理DHCP服务”n第78页,“管理VPN服务”n第132页,“管理负载平衡器服务”n第137页,“关于高可用性”n第138页,“配置DNS服务器”n第138页,“配置远程Syslog服务器”n第139页,“更改CLI凭据”n第139页,“将vShieldEdge升级到大型或超大型”n第140页,“下载vShieldEdge的技术支持日志”n第140页,“将vShieldEdge与vShieldManager同步”n第140页,“重新部署vShieldEdge” VMware,Inc. 59 vShield管理指南 查看vShieldEdge的状态 状态页将显示流过所选vShieldEdge的接口的流量图以及防火墙与负载平衡器服务的连接统计信息。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5双击vShieldEdge实例可查看状态。
6单击状态选项卡。
配置vShieldEdge设置 “设置”页面上将显示选定vShieldEdge的详细信息。
步骤1在vSphereClient中,选择Inventory>HostsandClusters。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5单击配置选项卡。
6单击设置链接。
此时会显示vShieldEdge详细信息、针对vShieldEdge配置的服务以及HA和DNS配置。
下一步单击更改修改所需配置。
管理设备 可以添加、编辑或删除设备。
vShieldEdge实例将一直保持脱机状态,直到至少向其添加一个设备。
添加设备 在部署前必须向vShieldEdge至少添加一个设备。
步骤1在vSphereClient中,选择Inventory>HostsandClusters。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5单击配置选项卡。
6单击设置链接。
60 VMware,Inc. 7在EdgeAppliances中,单击Add()图标。
8在“添加Edge设备”对话框中,选择设备的群集或资源池和数据存储。
9(可选)选择设备将添加到的主机。
10(可选)选择设备将添加到的vCenter文件夹。
11单击添加。
更改设备 可以更改vShieldEdge设备。
步骤1在vSphereClient中,选择Inventory>HostsandClusters。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5单击配置选项卡。
6单击设置链接。
7在Edge设备中,选择要更改的设备。
8单击编辑()图标。
9在“编辑Edge设备”对话框中,进行适当的更改。
10单击Save。
删除设备 可以删除vShieldEdge设备。
步骤1在vSphereClient中,选择Inventory>HostsandClusters。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5单击配置选项卡。
6单击设置链接。
7在Edge设备中,选择要删除的设备。
8单击删除()图标。
章9vShieldEdge管理 VMware,Inc. 61 vShield管理指南 使用接口 可以将vShieldEdge安装到数据中心中,并添加最多十个内部或上行链路接口。
在部署vShieldEdge之前,它必须至少具有一个内部接口。
添加接口 您可以将多达十个内部和上行链路接口添加到vShieldEdge实例。
您必须至少添加一个内部接口才能使HA工作。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5双击一个vShieldEdge。
6单击配置选项卡。
7单击接口链接。
8单击添加()图标。
9在“添加Edge接口”对话框中,键入接口的名称。
10选择Internal或Uplink指明其是内部还是外部接口。
11选择该接口应连接到的端口组或VXLAN虚拟线路。
a单击连接到字段旁边的选择。
b根据要连接到接口的对象,单击虚拟线路、标准端口组或分布式端口组选项卡。
c选择相应的虚拟线路或端口组。
d单击选择。
12选择接口的连接状态。
13在配置子网中,单击添加()图标,以便为接口添加子网。
一个接口可以具有多个非重叠的子网。
14在添加子网中,单击添加()图标以添加IP地址。
如果输入多个IP地址,则可以选择主IP地址。
一个接口可以具有一个主IP地址和多个辅助IP地址。
vShieldEdge会将主IP地址视为用于本地生成的流量的源地址。
必须将IP地址添加到接口,才能在所有功能配置中使用该地址。
15为接口键入子网掩码,然后单击保存。
16根据需要更改默认MTU。
62 VMware,Inc. 17在Options中,选择所需的选项。
选项EnableProxyARPSendICMPRedirect 描述支持在不同的接口之间重叠网络转发。
将路由信息传输给主机。
18键入防护参数,然后单击Add。
19重复步骤8到步骤18,以添加其他接口。
更改接口设置 可以更改某个接口连接到的端口组或虚拟线路,以及更新接口的IP地址。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击Edge选项卡。
4双击一个vShieldEdge。
5单击配置选项卡。
6单击接口。
7单击编辑()图标。
8进行所需更改。
9单击Save。
删除接口 可以删除vShieldEdge接口。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5双击一个vShieldEdge。
6单击配置选项卡。
7单击接口链接。
8选择要删除的接口。
9单击删除()图标 章9vShieldEdge管理 VMware,Inc. 63 vShield管理指南 启用接口 必须为vShieldEdge启用接口才能隔离该接口(端口组或VXLAN虚拟线路)内的虚拟机。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5双击一个vShieldEdge实例。
6单击配置选项卡。
7单击接口链接。
8选择要启用的接口。
9单击启用()图标。
禁用接口 可以禁用接口步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5双击一个vShieldEdge实例。
6单击配置选项卡。
7单击接口链接8选择要禁用的接口。
9单击禁用图标。
64 VMware,Inc. 章9vShieldEdge管理 使用证书 vShieldEdge支持自签名证书、由证书颁发机构(CA)签名的证书以及由CA生成并签名的证书。
配置CA签名证书 您可以生成CSR并使其获得CA签名。
如果在全局级别生成CSR,则该CSR可用于清单中的所有vShieldEdge。
步骤1在vSphereClient中,选择清单>主机和群集。
选项生成全局证书 生成用于vShieldEdge的证书 描述 a单击vShieldManager清单面板中的Settings&Reports。
b单击SSL证书选项卡。
a从清单面板中选择一个数据中心资源。
b单击网络虚拟化选项卡。
c单击Edges链接。
d双击一个vShieldEdge。
e单击配置选项卡。
f单击证书链接。
g单击操作,然后选择生成CSR。
2键入组织单位和名称。
3键入组织的地点、街道、省/市/自治区和国家/地区。
4为主机之间的通信选择加密算法。
请注意,SSLVPN-Plus仅支持RSA证书。
5根据需要编辑默认密钥大小。
6对于全局证书,键入证书描述。
7单击生成(在全局级别)或确定(在vShieldEdge级别)。
此时生成CSR并显示在“证书”列表中。
8请求在线证书颁发机构为此CSR签名。
9导入签名证书。
选项在全局级别导入签名证书 生成用于vShieldEdge的证书 描述 a在vShieldManager用户界面的“SSL证书”选项卡中,单击导入签名证书的旁边)。
b单击浏览并选择CSR文件。
c选择证书类型。
d单击应用。
a复制签名证书的内容。
b在证书选项卡中,单击操作并选择导入证书。
c在“导入CSR”对话框中,粘贴签名证书的内容。
d单击确定。
此时CA签名证书将显示在证书列表中。
(位于 VMware,Inc. 65 vShield管理指南 添加CA证书 通过添加CA证书,您可以成为公司的临时CA。
然后,您就有权签署自己的证书。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5双击一个vShieldEdge实例。
6单击配置选项卡。
7单击证书链接。
8单击添加()图标并选择CA证书。
9将证书内容复制并粘贴到“证书内容”文本框中。
10键入CA证书的描述。
11单击确定。
此时您即可签署自己的证书。
配置自签名证书 可以创建、安装和管理自签名服务器证书。
前提条件确认您具有CA证书,以便签署自己的证书。
步骤1在vSphereClient中,选择清单>主机和群集。
2从清单面板中选择一个数据中心资源。
3单击网络虚拟化选项卡。
4单击Edges链接。
5双击一个vShieldEdge。
6单击配置选项卡。
7单击证书链接。
8按照以下步骤生成CSR。
a单击生成CSR()图标。
b在公用名称中,键入vShieldManager的I
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。
相关文章
