用ESX进行虚拟化的技巧连载五:代理/防火墙服务虚拟化
生活随笔
收集整理的這篇文章主要介紹了
用ESX进行虚拟化的技巧连载五:代理/防火墙服务虚拟化
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
設置虛擬代理服務器
在安全領域,虛擬基礎架構也可以為企業創造價值。例如,規模較小的公司往往認為無需投資購置專用的代理服務器。而通過代理服務器,可以實現顯著的性能提升,帶寬占用率通常可以降低 25% 乃至更多,并且用戶可以更快地瀏覽經常使用的網站。此外,代理服務器還可以阻止不受歡迎的網站并對 Internet 站點的使用情況進行追蹤。企業可以在虛擬機內部署一個開源產品,例如 IPCOP,從而獲得一個快速、一體化,并且可以立刻收到成效的解決方案。IPCOP 以及其他類似的虛擬系統套裝可以提供多個版本的 Squid Proxy,Squid Proxy 是成熟的高性能代理服務器代碼,并且可以在一體化的框架內流暢運行。很多開源平臺都可以隨時轉化為虛擬系統套裝,利用虛擬系統套裝可以在不添加獨立設備的前提下,實現新的基礎架構服務,而 IPCOP 僅僅是這樣的實例之一。
承載虛擬 DMZ
IPCOP 還可用于在 VMware Infrastructure 中承載整個 DMZ。如果您計劃在您的公司站點設置 Web 服務器、電子郵件服務器或其他接受 Internet 上計算機訪問的服務器,那么您就應該創建一個 DMZ。DMZ(Demilitarized Zone,非軍事化區)借用軍事術語形象地說明了自身在網絡中的作用。利用 DMZ 可以在與外部世界相連的網絡服務器周圍形成防火墻保護層。在部署 DMZ 的時候,我們會假設網絡服務器可能會遭受潛在***。DMZ 防火墻只允許 DMZ 中的網絡服務器與其他更加敏感的服務器進行預定義的網絡通信,從而防止這些服務器被用作進入易受***的 LAN 環境的跳板。IPCOP 可以通過 IPCOP.org或VMware 虛擬虛擬系統套裝庫[1]獲得。最近,新澤西一家正在發展壯大的公司使用 IPCOP 承載一個具有 10 多臺服務器的繁忙 DMZ,并為一個超過 300 人的用戶群提供代理服務。IPCOP 可以在多種 Linux 操作系統上運行,并且只占用 256MB 內存和 2GB 磁盤空間。代理和 DMZ 工作負載很少會讓 IPCOP 防火墻的資源占用率超出單個虛擬 CPU 的 15%。IPCOP 具有紅色、綠色和橙色的網卡。紅色的網卡表示連接到 Internet,綠色的網卡會獲得一個 LAN 中的地址,而橙色的網卡則用于 DMZ 地址空間,橙色網卡的地址通常為 10.x.x.x(請見下圖 1)。
設置 DMZ 虛擬交換機
要將 IPCOP 設置為 DMZ 防火墻,請在一個或多個 ESX Server 主機上創建兩個虛擬交換機,分別命名為 DMZ-EXT 和 DMZ-INT。將 IPCOP 的紅色網卡連接到 DMZ-EXT,將橙色網卡連接到 DMZ-INT。將綠色網卡連接到任何一個與 LAN 地址空間相關聯的虛擬交換機。DMZ-INT 將作為服務于 DMZ 虛擬機的交換機。DMZ-EXT 將被用來發送數據包到 WAN 路由器或外圍防火墻。內部服務器將通過綠色網卡與虛擬 DMZ 中的服務器進行通信,因而要在 LAN 路由器上添加一條路由以便發送數據到 DMZ。這條路由將指向 DMZ 防火墻綠色網卡的網關地址,以便到達 DMZ 子網。如果您已經擁有基于硬件的外圍防火墻,請為紅色網卡指定一個傳輸網絡,專門用來在 DMZ-EXT 虛擬交換機與 WAN 路由器或外圍防火墻的專用端口之間發送數據包。將每臺 ESX Server 主機上與 DMZ-EXT 關聯的物理網卡連接到一個公用的物理交換機或 VLAN區段,從而在邏輯上將 DMZ 通信與其他網絡區段隔離開來。盡管在只安裝了一臺 ESX Server 主機的情況下,DMZ-INT 虛擬交換機可以配置為一個孤立的交換機,但是,在虛擬平臺具有多個 ESX Server 主機的情況下,最好將該虛擬交換機與每個 ESX Server 上的一個物理網卡相關聯。VMotion 要求將服務器連接到與物理網卡相關聯的虛擬交換機。具有多個網卡的虛擬機(例如 IPCOP)的 VMotion 要求將所有的網卡都與關聯到物理網卡的虛擬交換機進行連接。如果配置得當,可以利用 VMotion 將所有相關的虛擬機乃至 DMZ 防火墻本身遷移到其他的 ESX Server 主機,而在此過程中 DMZ 安全性和代理服務都不會受到影響。如果只安裝兩臺 ESX Server 主機服務于 DMZ,便可以直接用交叉線,連接兩臺 ESX Server 上與 DMZ-INT 交換機相關聯的物理網卡。一個專用的袖珍型交換機或 VLAN 可以連接兩臺以上的 ESX Server 主機,這樣 DMZ 中的元素便可以在一組 ESX Server 主機之間按需進行遷移。
集成虛擬 DMZ 與上游防火墻和路由器
在外圍防火墻上創建一個或多個映射的 IP 地址,并將它們映射到分配給 IPCOP 紅色網卡的 IP 地址。當 WAN 路由器處在一個或多個外圍防火墻之后時,應讓數據包從映射的 IP 地址發送到 WAN 路由器,并在 WAN 路由器中設定靜態路由,從而通過 IPCOP 的紅色網卡將數據包發送到 DMZ。一個比較好的操作方式是,在 WAN 路由器端口和每臺與 DMZ-EXT 相關聯的ESX Server物理網卡之間設置專用的交換機或 VLAN 用于數據傳輸。虛擬 DMZ 的優勢
創建虛擬 DMZ 帶來的益處之一是,在維護過程中可以非常靈活地將所有 DMZ 組件,包括 DMZ 防火墻本身,移至其他的 ESX Server 主機。我們假設以 IPCOP 作為 DMZ 的防火墻,并且 DMZ 中有 10 臺虛擬網絡服務器。如下面圖 1 所示,該示例中所有與 DMZ 相關的虛擬機,包括防火墻和 DMZ 成員服務器,都在一個名為 ESX01 的八路服務器上運行。為了在 ESX01 上進行 BIOS 升級而不影響服務,可以使用 VMotion 來將這些業務關鍵服務器移至其他 ESX Server 主機。同一網絡中的主機 ESX02 和 ESX03 都是四路 ESX Server 主機,且每個主機僅可容納大約六七個額外的虛擬機。通過虛擬 DMZ(如圖 1 所示),IPCOP 防火墻和 DMZ 中的網絡服務器可以移至 ESX02,其余的五個 DMZ 網絡服務器則可以移至 ESX03。這樣的虛擬機重組對于 Internet 上的用戶來說是完全察覺不到的,它只需要幾分鐘時間,并且重組之后的安全級別與整個 DMZ 完全在 ESX01 上運行時相比,毫無二致。Internet 和 DMZ 成員服務器之間的兩個火墻,會防止惡意利用防護墻平臺已知弱點的***企圖。美國東北部一家處于發展階段的抵押公司,已經非常成功地部署了這一類型的虛擬 DMZ。其靈活性讓 DMZ 服務器實現了近兩年的無故障運行。然而,對于物理 DMZ 來說,要實現相同的效果是十分困難的,并且需要付出更高的成本,因為在物理環境中,某些組件一旦離線,就必定會造成服務中斷。此外,代理加速和 Internet 追蹤功能幫助這家公司控制了帶寬消耗,并且沒有為專用物理服務器進行額外的支出。使用虛擬基礎架構承載基礎架構服務,將會以低廉的成本實現更高水平的靈活性和精細配置。
結論
本文重點討論了在 VMware Infrastructure 上部署和管理基礎架構服務所需的全新思維方式。文中還提供了在一個或多個具有較輕負載的虛擬 CPU 上創建和分配工作負載的方法,以及有關組合虛擬 SMP 與單虛擬 CPU 工作負載的建議。應盡量保持較輕的工作負載,在多個適當規模的 ESX Server 主機之間對工作負載進行分配,并根據需要利用 DRS 平衡 ESX Server 主機之間的工作負載。應該對 ESX Server 主機之間的虛擬機冗余進行規劃,并利用 VMware HA 確保服務的持續可用性。通過在 ESX Server 平臺上承載基礎架構服務,實現了更高水平的靈活性,更少的停機時間,以及對 IT 資源的統一管理。在通用的虛擬平臺上承載基礎架構服務和其他類型的服務器,實現了 IT 環境更低的復雜性和更高的可管理性,進而實現了整體上更佳的戰略效益和經濟效益。[1] ?鏈接至 [url]http://www.vmwarez.com/2006/01/ipcop-virtual-machine-new-esx-version.html[/url] 下載相關內容或訪問至 VMware 網站 [url]http://www.vmware.com/vmtn/appliances/directory/9[/url]
閱讀該文的其他部分:
- 用ESX進行虛擬化的技巧連載一:概述
總結
以上是生活随笔為你收集整理的用ESX进行虚拟化的技巧连载五:代理/防火墙服务虚拟化的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 网络上的FreeBSD在线文档
- 下一篇: 如何修改桌面,收藏夹,我的文档等等的存储