如何在數據中心中安全部署VMsafe虛擬設備?
雖然VMware vSphere 4版本已經集成了VMware VMsafe,但是對于多數人來說,并不熟悉如何正確地部署VMsafe。VMsafe是一個應用程序接口,保護運行在虛擬機上的應用。
盡管VMsafe(如思科的Nexus 1000V虛擬交換機)產品并不太多,但是為了能達到最佳的虛擬化安全、效率和性能,在您部署一款產品之前,需要了解清楚如何把這種虛擬機應用保護程序整合到您的數據中心環境中。
本文討論在數據中心部署VMware VMsafe需要考慮的問題:VMsafe-aware虛擬程序的位置、程序對主機的影響以及交互性問題。
Faster Path和Slow Path
VMsafe應用有兩種實現方式:第一種被稱為Faster Path,通過在VMware vSphere ESX 4主機系統上安裝一個vmkernel驅動實現。Fast Path方式的優點非常多。但它僅僅是一個驅動,此外經常被用來轉發必要的信息給虛擬程序;第二種是組合虛擬程序和vmkernel驅動的方式,被稱為Slow Path。
因為多數VMsafe應用程序會使用虛擬設備,所以把這些程序放置在數據中心的哪里就變得很重要。從安全的角度出發,充分考慮VMsafe程序的作用及其對虛擬化數據中心的影響成為關鍵因素。VMsafe虛擬程序具備直接訪問處于虛擬化管理程序(hypervisor)中數據的能力,包括讀寫內存、存儲和訪問網絡設備。在一些情況下,VMsafe虛擬程序甚至可以改變從內存、存儲設備或網絡讀取的數據。
這種訪問存在重大的安全隱患。如果虛擬設備處于危險的環境中,如隔離區(DMZ)或可以直接訪問Internet的環境,那么它就非常容易被攻擊。一次成功的侵入將會對您的虛擬化數據中心造成災難性的破壞。
在使用VMsafe虛擬設備前首先要考慮的問題是,VMware vSphere不會自動保護虛擬設備,而是把這個任務留給用戶和供應商,當供應商完善了自身的工作之后,VMsafe虛擬設備的安全就成為用戶的職責。
這里提供一些基本的準則:
不要把VMsafe設備安裝在隔離區(DMZ)
不要賦予它們直接訪問Internet的能力,設置成通過代理服務訪問
不要安裝在虛擬機網絡層
不要安裝在服務管理層和IP存儲層
不要安裝在VMware VMtion或Fault Tolerance Logging網絡層
那么,在什么地方安裝虛擬設備呢?
安裝在防火墻保護的安全區域內,安全區可以是虛擬管理網絡層的一部分,或者在一個單獨安全區域。
伴隨著VMsafe,VMware在虛擬網絡層中強化了另外一種有效的安全區域:相比早期的VM Infrastructure3(VI3)中的四個,在全功能的Enterprise或Enterprise Plus版本的 VMware vSphere ESX主機自帶有六個基本的安全區域。這樣就增加了更多讓人可以放心選擇的虛擬網絡。
在VI3中,通常認為VMotion和服務器控制臺可以共享同一個uplink(上行鏈路),現在我們可以考慮是不是讓VMsafe也共享這塊區域。或者應該把service Console跟VMsafe、VMotion以及Fault Tolerance Logging整合起來。答案是:這些都主要取決于用戶的應用環境和性能方面要求。
VMsafe對虛擬機性能的影響
從功能方面分析,VMsafe設備能是資源密集型虛擬機。例如,如果你想做全面的深度包檢測或內存分析時,VMsafe應用性能開銷是很大的。換句話說,這個進程將影響整個ESX4主系統上的所有的虛擬機性能。全面的深度包檢測和內存分析對CPU的占用率也是很高的。
最后一點需要考慮的是不同廠商VMsafe Vmkerner驅動之間的交互問題。如果您計劃使用多種VMsafe產品,就需要驗證和測試各種vmkernel驅動間的互操作性問題。VMware不會對這些交互的過程做測試,虛擬程序的供應商可能也不會做。考慮到這是一種第三方的vmkernel驅動,廠商會有一些兼容性方面的考量。
當您開始部署VMsafe設備的時候,就需要小心了(Cisco Nexus 1000V也是VMsafe應用)。您需要:考慮在什么位置安裝VMsafe虛擬程序;考慮虛擬設備可能對您的ESX4主機造成的影響;最后,考慮互操作性問題。在您的生產虛擬主機部署VMsafe之前,您還需要首先完成相應的計劃、測試和評估工作。
【編輯推薦】
