.vCloud Director 网络之 vShield Edge <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

最近在测试vCloud Director 1.5。在vCloud Director里面,有许多关于网络的设置,很多都是调用vShield Manager的组件去完成这些设置,所以为了更好的理解vCloud的网络,测试了一下vShield Edge

vShield ManagervShield App,vShield Endpoint,vShield Edge,vShield App with Data Security的统一管理控制台。

vShield Manager的中文文档的下载地址

http://www.vmware.com/cn/support/support-resources/pubs/vshield_pubs/

百度文库上的一篇官方对vShield 产品组件的PPT介绍

http://wenku.baidu.com/view/bfc92a8a6529647d272852c6.html

 

vShield Edge 的一些概念。

由于之前对vShield Manager没有做过什么测试,所以在vCloud Director设置完后的网络返回去对应vCenter的关系时候,就会发现在vCenter里面的网络设置会非常复杂。很难找出对应关系。

下面是对vShield Edge的一些测试。

vShield Manager安装配置完成后,在vCenter里面,就会出现有关vShield的组件标签,vShield Edge就是在vCenter的这个去配置的。

下图是VMware vShield Edge组件的图示,vShield Edge会有一个内部端口组和外部端组的概念,官方文档是这么解释的:每个 vShield Edge 虚拟设备都具有外部和内部网络接口。内部接口连接至安全的端口组,并充当端口组中所有受保护虚拟机的网关。分配给内部接口的子网掩码可以是 RFC 1918 私有地址。vShield Edge 的外部接口连接至上行链路端口组,后者可以访问共享企业网络或提供访问层联网功能的服务。

.vShield Edge的安装。

在需要保护的端口组上面,安装vShield Edge,填入相关的信息。

首先,为方便测试,新建虚拟机端口组,Edge inEdge out,并假设Edge in为内部端口组,Edge out为外部端口组。

2在需要保护的端口组上面安装vShield Edge ,也就是Edge in端口组,填入相关信息。

这里如我假设:

内部端口组:网段为192.168.1.0/24,端口组IP192.168.1.1

外部网段为192.168.10.0/24,端口组IP192.168.10.150,网关为192.168.10.1

接着点击安装。

3.接着就会进行部署。部署后如图所示。

4.vCenter上面,会部署一台vShield-Edge+端口组 命名的虚拟机。

5.点击回去查看Edge in端口组安装完成后vShield Egde的界面。

6.可以查看一下vShield Edge 这台虚拟机的IP地址。它会拥有两个IP,分别就是刚刚填写的端口组IP
7.再查看一下Edge inEdge out这两个端口组上面的虚拟机,都会看到vShield Edge这台虚拟机。

8.然后再来看看Edge out端口组。可以看到这个端口组是没有被安装vShield Edge,因为内部端口组的流量就是从这个端口组走出的。

9.我画了个草图,来帮助自己理解vShield Edge

简而言之,vShield Edge部署完成之后,就会拥有两个IP,一个是内部端口组的IP,可以相当于内部端口组上虚拟机的网关,还有一个是外部端口组的IP,这个外部IP,可以用于DNAT的端口映射。外部端口组的IP也可以直接是公网的IP,直接连出外网,也可以通过SNAT的方法使内部的虚拟机使用一个公有IP访问到外网。也可以使用DNAT映射多个公网地址等等。
VMware vShield Edge 结合 VMware View 的部分功能性测试。

这里要注意的一点是,默认 Edge 的防火墙策略是禁止的。需要进行开启。

1 DNAT 端口映射

大概测试环境如下:

Egde in 的端口组我创建了一个虚拟机,上面安装了 VMware View 5.0 。这台虚拟机的 IP 192.168.1.10( 内部端口组网段就是 192.168.1.0/24)

192.168.10.150 就是外部端口组的 IP

我在 DNAT 添加了如下一条规则:

内部的192.168.10.1的端口443映射成了外部192.168.10.1508443端口

然后,我在192.168.10.0/24的网段访问

https://192.168.10.150:8443/admin URL,是可以进入View的管理界面的。

输入用户名密码登陆,登陆成功。

也可以使用View Client进行访问。不过需要把端口相对应的进行更改。(如何要访问到虚拟桌面,则要映射4172的UDP和TCP端口)

访问成功

2 DNAT IP 映射。

同样在 DNAT 里面添加如下一条规则。

把内部的 192.168.1.10. 映射成外部的 192.168.10.165

然后,我在192.168.10.0/24的网段访问访问

https://192.168.10.165/admin 一样是可以访问成功的。

同样的 View Client 也是可以访问成功的。

这时候可以再看看vShield Edge这台虚拟机,是会多出一个DNAT IP地址的。可以看到多出了192.168.10.165IP

总结

在结合VMware View的时候也可以做一下更深入的测试,比如可以模拟一下View的连接服务器配置View的安全网关映射出外网等功能。

也可以测试一下vShield Edge的负载均衡功能,可以使用View的标准连接服务器和副本服务器模拟环境来进行测试。

另外vShield是支持vSphereHA功能,而且可以根据虚拟机端口组的逻辑分组来定义防火墙策略等,而不用去考虑虚拟机所在的主机位置,十分灵活。

另外就是发图片的博文只能一张一张上传图片?

纠结。。。。。。