Новости Статьи VMware Veeam StarWind vStack Microsoft Nakivo Citrix Symantec События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Все самое нужное о виртуализации и облаках

Более 6300 заметок о VMware, AWS, Azure, Veeam, Kubernetes и других

VM Guru / Articles / Распределенный брандмауэр в vCloud Director 8.20: особенности решенияРаспределенный брандмауэр в vCloud Director 8.20: особенности решения.

Распределенный брандмауэр в vCloud Director 8.20: особенности решенияРаспределенный брандмауэр в vCloud Director 8.20: особенности решения.

Распределенный брандмауэр в vCloud Director 8.20: особенности решенияРаспределенный брандмауэр в vCloud Director 8.20: особенности решения.

Автор: ИТ-ГРАД
Дата: 17/05/2018

Поддержите VM Guru!

USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1




Статья:

Распределенный файервол, или DFW (Distributed Firewall), – популярная функция NSX. С выходом vCloud Director 8.20 инструмент стал доступен клиентам вместе с новым интерфейсом HTML5 и API. Управление файерволом осуществляется на уровне Org vDC.


Использование опции Manage Firewall для управления DFW

Если кликнуть по ссылке Manage Firewall в свойствах виртуального ЦОД, откроется окно управления DFW, которое выглядит так:


Окно управления Distributed Firewall

Как сказано в официальной документации, Distributed Firewall представляет собой брандмауэр, реализованный на уровне ядра гипервизора, который обеспечивает контроль сети и виртуализированных нагрузок. Здесь можно создавать политики на основе объектов VMware vCenter, таких как дата-центры, кластеры, виртуальные машины, используя в том числе комбинации из IP-адреса или наборов IP-адресов, VLAN, VXLAN, групп безопасности, включая объекты Active Directory. Правила брандмауэра работают на уровне отдельно взятой виртуальной машины и не зависят от сетевой топологи, что обеспечивает постоянный контроль доступа, даже когда ВМ переходит в режим работы vMotion. Такая «нативность» с гипервизором дает файерволу большие преимущества, поскольку обеспечивается максимальная пропускная способность и более высокая консолидация рабочих нагрузок на физических серверах. Кроме того, файервол поддерживает масштабируемую архитектуру, благодаря чему при добавлении в ЦОД новых узлов автоматически увеличивается пропускная способность брандмауэра.

Сравнение брандмауэров

Отметим, что в vCloud Director 8.20 можно работать с пограничным шлюзом (Edge gateway) и распределенным (Distributed) файерволом. Чтобы уловить разницу между ними, рассмотрим отдельные примеры.


Пример с несколькими Org vDC

Пограничный шлюз на уровне Org vDC

На рисунке выше показаны два Org vDC с разной сетевой топологией. Org vDC 1 использует Org vDC Edge Gateway, который, помимо функции файервола, выполняет другие сетевые службы (балансировка нагрузки, VPN, NAT, маршрутизация и т. д.). Обратите внимание, что на этом уровне брандмауэр отслеживает только те пакеты, которые маршрутизируются через пограничный шлюз.

Пограничный шлюз на уровне vApp

Спустившись на уровень ниже, мы видим контейнеры vApps с vApp Edges. Они отвечают за маршрутизацию, межсетевое экранирование и NAT между маршрутизируемой сетью vApp и сетью Org vDC.

Распределенный файервол

Распределенный файервол же работает на уровне vNIC виртуальных машин. Это означает, что здесь реализуется проверка входящего/исходящего трафика ВМ и нет зависимости от топологии сети.

Особенности прав доступа в Distributed Firewall

В vCloud Director 8.20 появились новые права доступа, связанные с распределенным файерволом:

  • управление распределенным брандмауэром;
  • настройка правил распределенного брандмауэра;
  • просмотр правил распределенного брандмауэра;
  • включение/выключение распределенного брандмауэра.

Последнее право по умолчанию распространяется на системных администраторов, при этом провайдер облачных услуг контролирует, кому из клиентов разрешать использовать DFW. С учетом этих возможностей распределенный файервол может предоставляться как услуга с добавленной стоимостью. Поставщик выборочно включает DFW для отдельных Org vDC, после чего клиент самостоятельно настраивает и работает с брандмауэром.

Как создать новое правило в DFW

Прежде чем использовать портал vCloud Director для работы с распределенным файерволом, необходимо активировать (включить) распределенный брандмауэр на уровне организации виртуального ЦОД.



Окно включения Distributed Firewall

Важный момент! Правила, создаваемые в DFW, по умолчанию применяются к виртуальному ЦОД организации.


Обзор свойств правила

В поле Applied To можно изменять критерии применимости. При этом в свойствах правила может присутствовать несколько объектов, что позволяет сократить общее количество создаваемых правил. Например, если необходимо разрешить трафик http в сети internal1, internal2, internal3, достаточно создать одно правило, в котором будут определены рассматриваемые сети, вместо создания трех отдельных строк.

Создаем новое правило. Для этого открываем vCloud Director, кликаем по Org vDC, в контекстном меню выбираем Manage Firewall – открывается отдельное окно распределенного брандмауэра.


Пример Default Allow Rule, созданного по умолчанию

Далее необходимо определиться с типом правила. Обратите внимание, что на закладке General можно создавать правила Layer 3, а на закладке Ethernet – правила Layer 2. Чтобы добавить правило на уровень ниже существующего, щелкните по строке правила, а затем нажмите кнопку «+». Новая строка появится ниже выбранного правила. Если же на странице Distributed Firewall присутствует единственное правило, созданное по умолчанию (Default Allow Rule), любое вновь создаваемое правило будет размещаться на уровень выше.


Пример создания нового правила

Строка любого правила содержит поля Source, Destination и Service, в которых при создании автоматически прописывается значение Any, а само правило определяет разрешающее действие. Эти значения можно изменить при необходимости. Обратите внимание, что правило содержит поле Name, которое не должно быть пустым. В ячейках Source и Destination указываются отдельно взятые IP-адреса, IP-диапазоны или значения в формате CIDR.


Пример редактирования полей правила

Кликнув по значку «+» в ячейке Source или Destination, можно добавить новый объект – сеть организации vDC, виртуальную машину, указать IP-диапазон, а также использовать фильтры.


Пример выбора объектов в свойствах правила DFW

Изменения, вносимые в правилах DFW, необходимо сохранять. Для этого используется кнопка Save changes.

Заключение

В этой статье мы познакомились с особенностями работы распределенного брандмауэра, обозначили разницу между Edge Gateway и Distributed Firewall, а также научились создавать правила. Следите за новыми материалами первого блога о корпоративном IaaS. В следующей статье расскажем о порядке применения правил, рассмотрев конкретные кейсы, и научимся вносить изменения в уже существующую конфигурацию.

Оригинал статьи в блоге ИТ-ГРАД.

Интересное:





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

Быстрый переход:
VMware Broadcom Offtopic Microsoft Veeam Cloud StarWind VMachines NAKIVO vStack Gartner Vinchin Nakivo IT-Grad Teradici VeeamON VMworld PowerCLI Citrix VSAN GDPR 5nine Hardware Nutanix vSphere RVTools Enterprise Security Code Cisco vGate SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud DevOps Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs IDC Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V Private AI HCX vSAN VCPP VCF Workstation Labs Backup Explore vDefend Data Protection ONE Tanzu AI Intel Live Recovery VCP V2V Aria NSX DPU Update EUC Avi Community Skyline Host Client GenAI Chargeback Horizon SASE Workspace ONE Networking Ransomware Tools Performance Lifecycle Network AWS API USB SDDC Fusion Whitepaper SD-WAN Mobile VMUG SRM ARM HCI Converter Photon OS Operations VEBA App Volumes Certification VMConAWS Workspace Imager SplinterDB DRS SAN vMotion Open Source iSCSI Partners HA Monterey Kubernetes vForum Learning vRNI UAG Support Log Insight AMD vCSA NSX-T Graphics NVMe HCIBench SureBackup Docs Carbon Black vCloud Обучение Web Client vExpert OpenStack UEM CPU PKS vROPs Stencils Bug VTL Forum Video Update Manager VVols DR Cache Storage DRS Visio Manager Virtual Appliance PowerShell LSFS Client Datacenter Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Encryption Nested XenDesktop VSA vNetwork SSO VMDK Appliance VUM HoL Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP iOS SC VMM VDP PCoIP RHEV vMA Award Licensing Logs Server Demo vCHS Calculator Бесплатно Beta Exchange MAP DaaS Hybrid Monitoring VPLEX UCS GPU SDK Poster VSPP Receiver VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V KB VirtualCenter NFS ThinPrint Director Memory SIOC Troubleshooting Stretched Bugs ESA Android Python Upgrade ML Hub Guardrails CLI Driver Foundation HPC Orchestrator Optimization SVMotion Diagram Ports Plugin Helpdesk VIC VDS Migration Air DPM Flex Mac SSH VAAI Heartbeat MSCS Composer
Полезные постеры:

Постер VMware vSphere PowerCLI 10

Постер VMware Cloud Foundation 4 Architecture

Постер VMware vCloud Networking

Постер VMware Cloud on AWS Logical Design Poster for Workload Mobility

Постер Azure VMware Solution Logical Design

Постер Google Cloud VMware Engine Logical Design

Постер Multi-Cloud Application Mobility

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Сравнение Oracle VirtualBox и VMware Workstation.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Диски RDM (Raw Device Mapping) для виртуальных машин VMware vSphere и серверов ESX.

Работа с дисками виртуальных машин VMware.

Где скачать последнюю версию VMware Tools для виртуальных машин на VMware ESXi.

Подключение локальных SATA-дисков сервера VMware ESXi в качестве хранилищ RDM для виртуальных машин.

Как перенести виртуальную машину VirtualBox в VMware Workstation и обратно

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Полезные ресурсы:

Последние 100 утилит VMware Labs

Новые возможности VMware vSphere 8.0 Update 1

Новые возможности VMware vSAN 8.0 Update 1

Новые документы от VMware

Новые технологии и продукты на VMware Explore 2022

Анонсы VMware весной 2021 года

Новые технологии и продукты на VMware VMworld 2021

Новые технологии и продукты на VMware VMworld 2020

Новые технологии и продукты на VMware VMworld Europe 2019

Новые технологии и продукты на VMware VMworld US 2019

Новые технологии и продукты на VMware VMworld 2019

Новые технологии и продукты на VMware VMworld 2018

Новые технологии и продукты на VMware VMworld 2017



Copyright VM Guru 2006 - 2025, Александр Самойленко. Правила перепечатки материалов.
vExpert Badge