Решил написать небольшую статью об установке VMware vShield Manager для VMware vCloud Director.
VMware vShield Manager – это сервер, который управляет другими серверами семейства vShield для обеспечения безопасности в виртуальной инфраструктуре.
Под «другими серверами» имеются ввиду vShield App, vShield Edge, vShield Endpoint, vShield Zones:
С версии vSphere 5.1 семейство продуктов vShield называется VMware vCloud Networking and Security.
Схема изменений от версии vSphere 5.0 к 5.1:
Кратко о продуктах:
vShield Edge – продукт для защиты периметра датацентра. Содержит в себе FireWall, умеет раздавать DHCP, может строить VPN туннели, транслировать адреса NAT, поддерживает балансировку нагрузки.
Является неотъемлемой частью для инфраструктуры vCloud, собственно, через vShield-ы в vCloud Director ходит трафик у всех теннантов.
Устанавливается он из OVF темплейта, внутри используется некоторая линукс-машина.
vShield Endpoint – продукт безопасности, работающий поверх VMsafe API – интегрируется со сторонними антивирусными продуктами (на данный момент такие продукты есть у Symantec, TrendMicro, Касперского, McAfee, возможно и у других) и позволяет антивирусам работать с машинами без установки агентов на них.
Устанавливается на хосты через vShield Manager.
vShield App (и входящий в его состав vShield Zone) – некий распределенный коммутатор, для контроля траффика на уровне гипервизора работает через VMsafe.
Так же устанавливается на хосты через vShield Manager.
Теперь непосредственно к установке.
Мы имеем виртуальную инфраструктуру vSphere 5.1 – с уже установленными серверами vCenter 5.1 и vCloud Director 5.1.
Сервер с vCloud Director поднят, но не настроен — под сервер я использовал vCloud Director Appliance, но подключил его к внешнему SQL серверу. Использование для апплаинса внешних SQL серверов доступно с версии 5.1 — в ранних версиях 1.5 в аплаинсе используется только внутренняя БД — Oracle Express, которая имеет сильные ограничения (1 процессор, максимальный объем БД равный 2ГБ и пр.).
Для начала необходимо скачать темплейт, его можно найти по данной ссылке в пакете «vCloud Networking and Security 5.1.2» (последняя версия на данный момент).
Далее устанавливаем темплейт:
Половина шагов пропущена, т.к. там все по дефолту.
Жмем финиш, и ждем пока установится темплейт:
После установки запускаем машину, ждем загрузки и логинимся на нее.
Стандартный логин/пароль – administrator/default (из-за соображений безопасности желательно сменить все пароли).
Для управления необходимо зайти в режим enable, пароль для входа в режим enable тоже default…
Для того чтобы настроить vShield Manager, необходимо из режима enable запустить команду setup и ввести необходимые настройки:
Сервер попросит перезагрузиться для применения настроек — соглашаемся.
Для подключению сервера к vCenter воспользуемся веб, зайдем по адресу, который указали при настройке сервера:
Подключим vShield Manager к нашему vCenter серверу, указав данные сервера.
Для подключения рекомендуется завести отдельную УЗ, обладающую правами администратора на vCenter.
В консоли vSphere мы увидим как переконфигурируются хосты и добавиться новая вкладка на каждом хосте:
А в главном меню появится раздел vShield:
Теперь заходим по веб на сервер vCloud Director, и выбираем подключение к vCenter.
Указываем IP и реквизиты доступа к серверу vCenter – для этого так же желательно использовать отдельную УЗ.
В следующем шаге мы укажем параметры подключения к vShield Manager:
Переходим во вкладку Manage&Monitor и смотрим подключен ли vCenter:
Далее, нужно будет понять сколько необходимо будет Provider vDC. И если нужен только один – то отдать весь кластер директору, создав новый провайдерский vDC, если нужно будет несколько, то нужно внутри кластера создать ресурс пул (или пулы) и отдать в vCloud Director его. Это видно на следующей картинке:
После, нужно будет добавить в vCloud Director хосты и хранилища (будут доступны те, что добавлены в кластер), настроить сети и прочие настройки директора.
Стоит добавить, что с версии 5.1 VMware урезало vSphere Client и предлагает использовать vSphere Web Client, в котором больше функций. Я на данном стенде его не разворачивал, поэтому все скриншоты из локального клиента.
Если будет нужно, могу в следующий раз описать процесс установки и настройки Nexus 1000V в среде vSphere 5.1.
Автор: deathwalker
