當(dāng)前位置：首頁 >

用ESX进行虚拟化的技巧连载五:代理/防火墙服务虚拟化

發(fā)布時(shí)間：2025/7/14 36 豆豆

生活随笔收集整理的這篇文章主要介紹了用ESX进行虚拟化的技巧连载五:代理/防火墙服务虚拟化小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

設(shè)置虛擬代理服務(wù)器

在安全領(lǐng)域，虛擬基礎(chǔ)架構(gòu)也可以為企業(yè)創(chuàng)造價(jià)值。例如，規(guī)模較小的公司往往認(rèn)為無需投資購置專用的代理服務(wù)器。而通過代理服務(wù)器，可以實(shí)現(xiàn)顯著的性能提升，帶寬占用率通?？梢越档?/span> 25% 乃至更多，并且用戶可以更快地瀏覽經(jīng)常使用的網(wǎng)站。此外，代理服務(wù)器還可以阻止不受歡迎的網(wǎng)站并對(duì) Internet 站點(diǎn)的使用情況進(jìn)行追蹤。
企業(yè)可以在虛擬機(jī)內(nèi)部署一個(gè)開源產(chǎn)品，例如 IPCOP，從而獲得一個(gè)快速、一體化，并且可以立刻收到成效的解決方案。IPCOP 以及其他類似的虛擬系統(tǒng)套裝可以提供多個(gè)版本的 Squid Proxy，Squid Proxy 是成熟的高性能代理服務(wù)器代碼，并且可以在一體化的框架內(nèi)流暢運(yùn)行。很多開源平臺(tái)都可以隨時(shí)轉(zhuǎn)化為虛擬系統(tǒng)套裝，利用虛擬系統(tǒng)套裝可以在不添加獨(dú)立設(shè)備的前提下，實(shí)現(xiàn)新的基礎(chǔ)架構(gòu)服務(wù)，而 IPCOP 僅僅是這樣的實(shí)例之一。

承載虛擬 DMZ

IPCOP 還可用于在 VMware Infrastructure 中承載整個(gè) DMZ。如果您計(jì)劃在您的公司站點(diǎn)設(shè)置 Web 服務(wù)器、電子郵件服務(wù)器或其他接受 Internet 上計(jì)算機(jī)訪問的服務(wù)器，那么您就應(yīng)該創(chuàng)建一個(gè) DMZ。DMZ（Demilitarized Zone，非軍事化區(qū)）借用軍事術(shù)語形象地說明了自身在網(wǎng)絡(luò)中的作用。利用 DMZ 可以在與外部世界相連的網(wǎng)絡(luò)服務(wù)器周圍形成防火墻保護(hù)層。在部署 DMZ 的時(shí)候，我們會(huì)假設(shè)網(wǎng)絡(luò)服務(wù)器可能會(huì)遭受潛在***。DMZ 防火墻只允許 DMZ 中的網(wǎng)絡(luò)服務(wù)器與其他更加敏感的服務(wù)器進(jìn)行預(yù)定義的網(wǎng)絡(luò)通信，從而防止這些服務(wù)器被用作進(jìn)入易受***的 LAN 環(huán)境的跳板。
IPCOP 可以通過 IPCOP.org或VMware 虛擬虛擬系統(tǒng)套裝庫[1]獲得。最近，新澤西一家正在發(fā)展壯大的公司使用 IPCOP 承載一個(gè)具有 10 多臺(tái)服務(wù)器的繁忙 DMZ，并為一個(gè)超過 300 人的用戶群提供代理服務(wù)。IPCOP 可以在多種 Linux 操作系統(tǒng)上運(yùn)行，并且只占用 256MB 內(nèi)存和 2GB 磁盤空間。代理和 DMZ 工作負(fù)載很少會(huì)讓 IPCOP 防火墻的資源占用率超出單個(gè)虛擬 CPU 的 15%。IPCOP 具有紅色、綠色和橙色的網(wǎng)卡。紅色的網(wǎng)卡表示連接到 Internet，綠色的網(wǎng)卡會(huì)獲得一個(gè) LAN 中的地址，而橙色的網(wǎng)卡則用于 DMZ 地址空間，橙色網(wǎng)卡的地址通常為 10.x.x.x（請(qǐng)見下圖 1）。

設(shè)置 DMZ 虛擬交換機(jī)

要將 IPCOP 設(shè)置為 DMZ 防火墻，請(qǐng)?jiān)谝粋€(gè)或多個(gè) ESX Server 主機(jī)上創(chuàng)建兩個(gè)虛擬交換機(jī)，分別命名為 DMZ-EXT 和 DMZ-INT。將 IPCOP 的紅色網(wǎng)卡連接到 DMZ-EXT，將橙色網(wǎng)卡連接到 DMZ-INT。將綠色網(wǎng)卡連接到任何一個(gè)與 LAN 地址空間相關(guān)聯(lián)的虛擬交換機(jī)。DMZ-INT 將作為服務(wù)于 DMZ 虛擬機(jī)的交換機(jī)。DMZ-EXT 將被用來發(fā)送數(shù)據(jù)包到 WAN 路由器或外圍防火墻。內(nèi)部服務(wù)器將通過綠色網(wǎng)卡與虛擬 DMZ 中的服務(wù)器進(jìn)行通信，因而要在 LAN 路由器上添加一條路由以便發(fā)送數(shù)據(jù)到 DMZ。這條路由將指向 DMZ 防火墻綠色網(wǎng)卡的網(wǎng)關(guān)地址，以便到達(dá) DMZ 子網(wǎng)。如果您已經(jīng)擁有基于硬件的外圍防火墻，請(qǐng)為紅色網(wǎng)卡指定一個(gè)傳輸網(wǎng)絡(luò)，專門用來在 DMZ-EXT 虛擬交換機(jī)與 WAN 路由器或外圍防火墻的專用端口之間發(fā)送數(shù)據(jù)包。將每臺(tái) ESX Server 主機(jī)上與 DMZ-EXT 關(guān)聯(lián)的物理網(wǎng)卡連接到一個(gè)公用的物理交換機(jī)或 VLAN區(qū)段，從而在邏輯上將 DMZ 通信與其他網(wǎng)絡(luò)區(qū)段隔離開來。
盡管在只安裝了一臺(tái) ESX Server 主機(jī)的情況下，DMZ-INT 虛擬交換機(jī)可以配置為一個(gè)孤立的交換機(jī)，但是，在虛擬平臺(tái)具有多個(gè) ESX Server 主機(jī)的情況下，最好將該虛擬交換機(jī)與每個(gè) ESX Server 上的一個(gè)物理網(wǎng)卡相關(guān)聯(lián)。VMotion 要求將服務(wù)器連接到與物理網(wǎng)卡相關(guān)聯(lián)的虛擬交換機(jī)。具有多個(gè)網(wǎng)卡的虛擬機(jī)（例如 IPCOP）的 VMotion 要求將所有的網(wǎng)卡都與關(guān)聯(lián)到物理網(wǎng)卡的虛擬交換機(jī)進(jìn)行連接。如果配置得當(dāng)，可以利用 VMotion 將所有相關(guān)的虛擬機(jī)乃至 DMZ 防火墻本身遷移到其他的 ESX Server 主機(jī)，而在此過程中 DMZ 安全性和代理服務(wù)都不會(huì)受到影響。如果只安裝兩臺(tái) ESX Server 主機(jī)服務(wù)于 DMZ，便可以直接用交叉線，連接兩臺(tái) ESX Server 上與 DMZ-INT 交換機(jī)相關(guān)聯(lián)的物理網(wǎng)卡。一個(gè)專用的袖珍型交換機(jī)或 VLAN 可以連接兩臺(tái)以上的 ESX Server 主機(jī)，這樣 DMZ 中的元素便可以在一組 ESX Server 主機(jī)之間按需進(jìn)行遷移。

集成虛擬 DMZ 與上游防火墻和路由器

在外圍防火墻上創(chuàng)建一個(gè)或多個(gè)映射的 IP 地址，并將它們映射到分配給 IPCOP 紅色網(wǎng)卡的 IP 地址。當(dāng) WAN 路由器處在一個(gè)或多個(gè)外圍防火墻之后時(shí)，應(yīng)讓數(shù)據(jù)包從映射的 IP 地址發(fā)送到 WAN 路由器，并在 WAN 路由器中設(shè)定靜態(tài)路由，從而通過 IPCOP 的紅色網(wǎng)卡將數(shù)據(jù)包發(fā)送到 DMZ。一個(gè)比較好的操作方式是，在 WAN 路由器端口和每臺(tái)與 DMZ-EXT 相關(guān)聯(lián)的ESX Server物理網(wǎng)卡之間設(shè)置專用的交換機(jī)或 VLAN 用于數(shù)據(jù)傳輸。

虛擬 DMZ 的優(yōu)勢(shì)

創(chuàng)建虛擬 DMZ 帶來的益處之一是，在維護(hù)過程中可以非常靈活地將所有 DMZ 組件，包括 DMZ 防火墻本身，移至其他的 ESX Server 主機(jī)。我們假設(shè)以 IPCOP 作為 DMZ 的防火墻，并且 DMZ 中有 10 臺(tái)虛擬網(wǎng)絡(luò)服務(wù)器。如下面圖 1 所示，該示例中所有與 DMZ 相關(guān)的虛擬機(jī)，包括防火墻和 DMZ 成員服務(wù)器，都在一個(gè)名為 ESX01 的八路服務(wù)器上運(yùn)行。為了在 ESX01 上進(jìn)行 BIOS 升級(jí)而不影響服務(wù)，可以使用 VMotion 來將這些業(yè)務(wù)關(guān)鍵服務(wù)器移至其他 ESX Server 主機(jī)。同一網(wǎng)絡(luò)中的主機(jī) ESX02 和 ESX03 都是四路 ESX Server 主機(jī)，且每個(gè)主機(jī)僅可容納大約六七個(gè)額外的虛擬機(jī)。通過虛擬 DMZ（如圖 1 所示），IPCOP 防火墻和 DMZ 中的網(wǎng)絡(luò)服務(wù)器可以移至 ESX02，其余的五個(gè) DMZ 網(wǎng)絡(luò)服務(wù)器則可以移至 ESX03。這樣的虛擬機(jī)重組對(duì)于 Internet 上的用戶來說是完全察覺不到的，它只需要幾分鐘時(shí)間，并且重組之后的安全級(jí)別與整個(gè) DMZ 完全在 ESX01 上運(yùn)行時(shí)相比，毫無二致。Internet 和 DMZ 成員服務(wù)器之間的兩個(gè)火墻，會(huì)防止惡意利用防護(hù)墻平臺(tái)已知弱點(diǎn)的***企圖。
美國東北部一家處于發(fā)展階段的抵押公司，已經(jīng)非常成功地部署了這一類型的虛擬 DMZ。其靈活性讓 DMZ 服務(wù)器實(shí)現(xiàn)了近兩年的無故障運(yùn)行。然而，對(duì)于物理 DMZ 來說，要實(shí)現(xiàn)相同的效果是十分困難的，并且需要付出更高的成本，因?yàn)樵谖锢憝h(huán)境中，某些組件一旦離線，就必定會(huì)造成服務(wù)中斷。此外，代理加速和 Internet 追蹤功能幫助這家公司控制了帶寬消耗，并且沒有為專用物理服務(wù)器進(jìn)行額外的支出。使用虛擬基礎(chǔ)架構(gòu)承載基礎(chǔ)架構(gòu)服務(wù)，將會(huì)以低廉的成本實(shí)現(xiàn)更高水平的靈活性和精細(xì)配置。

結(jié)論

本文重點(diǎn)討論了在 VMware Infrastructure 上部署和管理基礎(chǔ)架構(gòu)服務(wù)所需的全新思維方式。文中還提供了在一個(gè)或多個(gè)具有較輕負(fù)載的虛擬 CPU 上創(chuàng)建和分配工作負(fù)載的方法，以及有關(guān)組合虛擬 SMP 與單虛擬 CPU 工作負(fù)載的建議。應(yīng)盡量保持較輕的工作負(fù)載，在多個(gè)適當(dāng)規(guī)模的 ESX Server 主機(jī)之間對(duì)工作負(fù)載進(jìn)行分配，并根據(jù)需要利用 DRS 平衡 ESX Server 主機(jī)之間的工作負(fù)載。應(yīng)該對(duì) ESX Server 主機(jī)之間的虛擬機(jī)冗余進(jìn)行規(guī)劃，并利用 VMware HA 確保服務(wù)的持續(xù)可用性。通過在 ESX Server 平臺(tái)上承載基礎(chǔ)架構(gòu)服務(wù)，實(shí)現(xiàn)了更高水平的靈活性，更少的停機(jī)時(shí)間，以及對(duì) IT 資源的統(tǒng)一管理。在通用的虛擬平臺(tái)上承載基礎(chǔ)架構(gòu)服務(wù)和其他類型的服務(wù)器，實(shí)現(xiàn)了 IT 環(huán)境更低的復(fù)雜性和更高的可管理性，進(jìn)而實(shí)現(xiàn)了整體上更佳的戰(zhàn)略效益和經(jīng)濟(jì)效益。

[1] ?鏈接至 [url]http://www.vmwarez.com/2006/01/ipcop-virtual-machine-new-esx-version.html[/url] 下載相關(guān)內(nèi)容或訪問至 VMware 網(wǎng)站 [url]http://www.vmware.com/vmtn/appliances/directory/9[/url]

閱讀該文的其他部分：

用ESX進(jìn)行虛擬化的技巧連載一:概述

用ESX進(jìn)行虛擬化的技巧連載二:在VI上運(yùn)行基礎(chǔ)架構(gòu)服務(wù) 用ESX進(jìn)行虛擬化的技巧連載三:設(shè)置IP和目錄服務(wù) 用ESX進(jìn)行虛擬化的技巧連載四:將文件和打印服務(wù)虛擬化用ESX進(jìn)行虛擬化的技巧連載五:代理和防火墻虛擬化 ?

總結(jié)

以上是生活随笔為你收集整理的用ESX进行虚拟化的技巧连载五:代理/防火墙服务虚拟化的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇：网络上的FreeBSD在线文档
下一篇：如何修改桌面，收藏夹，我的文档等等的存储