我想要使用直接在虚拟机pipe理程序上运行的解决scheme,通过防火墙规则保护vSphere / ESXi主机上的单个虚拟机。 默认情况下,vSPhere不允许这样做,对吧? 它必须支持当然的集群设置。 我有什么select?
对我来说没有什么select是: – 将防火墙作为虚拟机运行,并桥接所有虚拟机。 – 使用Windows内置防火墙,因为他们希望pipe理员的操作系统,因此可以只是禁用Windows防火墙。
一个场景将是一个虚拟机,您可以让用户访问。 但是从那台机器上,他应该完全与networking的其他部分隔离。 所以他不应该被允许访问任何其他机器。 即使不在自己的子网上
对于VMware vSphere,正确的防火墙解决scheme是付费产品(Essential Plus层和$$$以上)提供的VMware vCloud Networking and Security (以前称为vShield)模块。
这将允许VM的粒度控制和networking监控,包括在同一子网上的VM。
它通过在.vmx文件中的虚拟机configuration的接口上插入filter来工作。 stream量通过一组vShield虚拟机(pipe理虚拟机和每个主机的防火墙)进行过滤:
ethernet0.filter0.name = "vshield-dvfilter-module" ethernet0.filter0.param1 = "uuid=50048229-580b-7327-832e-1390c8c98044.000" ethernet0.filter0.onFailure = "failClosed" 如果vShield虚拟机发生故障,默认情况下,configuration的虚拟机上的VMstream量将暂停。
pipe理程序不在其VM上执行防火墙或NAT。 它的function就好像它从networking的angular度来看不存在一样。
有了这个说法,如果你想要虚拟机之间的逻辑networking分离,你将不得不使用更传统的networking方法。 这将归结为基于主机的防火墙,VLAN,严格的访问控制,甚至更复杂的方法,如RADIUS身份validation。
还有第三方基于虚拟机pipe理程序的防火墙。 我在瞻博networkingVGW方面拥有丰富的经验: http ://www.juniper.net/us/en/products-services/security/vgw-series/