Компания VMware уже больше года назад анонсировала технологию VMsafe, которая позволит вывести на новый уровень безопасность в виртуальных окружениях VMware. Автором идеи и ее активистом является Мендель Розенблюм, один из основателей VMware, который не так давно покинул компанию в связи с увольнением его жены Дианы (бывшая глава VMware и ее основатель). Но дело Менделя, как известно, живет. Ниже расскажем несколько подробностей технологии, которая появится в 2009 году, в не так давно анонсированной на VMworld 2008 «виртуальной» операционной системе для датацентра VMware Datacenter OS (VDS-OS).
Для начала поговорим о новом устройстве, которое появится в VMware Infrastructure 4 (а точнее в ESX 4), под названием Distributed vSwitch. Сегодня, чтобы соблюдать политики безопасности, требования VMotion и прочее, мы должны настраивать политики виртуальных коммутаторов (vSwitch) на хостах таким образом, чтобы они были одинаковы – VLAN ID, имена Port Groups и т.п. Все это нужно поддерживать в актуальном состоянии и следить за тем, чтобы кто-то из администраторов ничего не испортил, что, согласитесь, достаточно непросто.
Так вот, технология Distributed vSwitch позволяет объединить несколько хостов VMware ESX Server одним виртуальным коммутатором, что дает множество новых возможностей. А именно:
Появится возможность централизованного назначения политик для такого коммутатора, что устранит ошибки в конфигурации и обеспечит задание параметров VLAN, групп портов и Security из единой точки интерфейса.
Политики назначаемые таким образом очень удобно будет настраивать с помощью шаблонов (возможности Host Profiles), которые также появятся в VMware ESX 4.
Distributed vSwitch позволит корректно работать механизму VMware Fault Tolerance, чтобы «теневая» копия виртуальной машины имела идентичные сетевые политики на другом сервере, и в случае отказа основной виртуальной машины, мгновенно заменяла ее в действующем сетевом окружении.
Появится возможность перезагрузить коммутатор, не перезагружая хост ESX. Для чего это нужно? А для того, чтобы, например, при изменении числа портов у коммутатора, не перезагружать хост ESX.
Но это еще не все – в контексте безопасности VMware VMsafe, Distributed vSwitch занимает отдельное место. Взглянем на картинку:
Здесь мы видим, что на каждом сервере VMware ESX появляется еще одна виртуальная машина «Security VM», подключенная к распределенному виртуальному коммутатору и выполняющая функции обеспечения сетевой безопасности для виртуальных машин сервера. Это может быть IDS/IPS-система, Firewall и т.п. – а может и все вместе. При этом защищающая ВМ назначает политики защищаемой ВМ. При миграции работающей ВМ за счет технологии VMware VMotion, эти политики «переезжают» на другой хост-сервер ESX.
О чем нам говорит такая модель? Да о том, что вскоре в виртуальной инфраструктуре VMware отпадет необходимость в установке агентов ПО для безопасности внуть виртуальных машин и управление политиками безопасности станет гораздо проще. Вот такая мини-революция может получиться.
P.S. Ну и, конечно же, в плане обеспечения безопасности нам поможет «тонкий» гипервизор ESXi, слепок которого занимает 32 МБ. Это означает, что с одной стороны из него почти ничего не «смотрит» наружу, а с другой – он редко нуждается в обновлениях безопасности.