Monet meistä tekevät nykyään virtuaalinen palomuureja. Tein aiemmin postitse suhteen vahvuudet ja heikkoudet turvallisuuden virtuaalinen maailma , mutta tänään haluan puhua palomuuri mahdollisuuksista ja VMware. Siellä on paljon jännitystä suhteen VMwaren suhteellisen uusi VMsafe API . Erityisesti, kaikki on sekoitus luoda / käyttää nopeasti polku palomuureja. Mutta kaikki nopeasti polku toteutukset tasa-arvoisia? Onko turvallisuus huolet menossa nopeasti polku ratkaisu? Katsotaan sukeltaa ja nähdä.
Jakautuminen VMsafe
Kanssa vapauttamaan VMsafe turvallisuus API, VMware on lisännyt vaihtoehtoja täytäntöönpanoa turvallisuuden vSphere ympäristössä sallimalla myyjien kytkeä suoraan hypervisor käteispeleissä 0. VMsafe koostuu kolmesta osasta:
- VDDK - Disk lohkon tarkastus. API on julkisesti julkaistu.
- vCompute - CPU ja muisti API. Ole julkisesti julkaistu. Tuntematon jotka ovat kolmansien osapuolten saatavissa, jos sellainen on.
- vNetwork - API seurata / suodattaa välillä vNIC ja vSwitch. Ole julkisesti julkaistu. Parhaan tietoni mukaan vain Altor Networks & Reflex Systems pääsy (kaksi toimittajia, jotka avustivat kehittämisessä API).
Erityisesti haluan puhua vNetwork API. Ohjattaessa verkkoliikenteen virtausta ESX vastaanottavaan, on olemassa kaksi mahdollista toteuttamiseen, "hidas tie" ja "nopeasti polku".
Hidas Path
Hidas tie on yksinkertaisin toteuttaminen ja jota olemme käyttäneet jo vuosia. Käytännössä tämä on vain VM vieras, samanlainen kuin kaikki muut VM vieras, käynnissä ESX isäntä. Tyypillisesti kunkin asiakkaan on kytketty ainutlaatuisen vSwitch, ja jokainen näistä vSwitches on kytketty ainutlaatuisen vNIC on palomuuri. Tämä on samanlainen kuin legacy palomuurin asetukset, mutta toteutettu käytännössä. Hyöty Täytäntöönpanosta hitaasti polku on, että voit suorittaa täyden iskun OS minkään kirjastojen tai palveluita tarvitaan tukemaan palomuurin.
Nopea Path
Nopea tie on käytännössä rengas 0 kuljettaja liittää suoraan hypervisor ytimeen. Näin ulkopuolinen toimittaja hyödyntää hypervisor asetettavaksi keskenään vNIC / vSwitch liitäntä. Koska nopea polku kuljettaja on käynnissä ytimen puitteissa, se lisää minimaalinen yläpuolella järjestelmään. Tuloksena on koodin suorittamisen sisällä nopeasti polku on huomattavasti nopeampi kuin sama koodi on suoritettu sisällä hitaasti polku (siis VMware nimeämiskäytäntöä jokaiselle yhteydessä). Kuormitus ESX isäntä on minimoitu, joten lopputulos on, voit käyttää paljon enemmän virtuaalisia vieraita.
Fast Vs Slow
Joten se kuulostaa et haluaisi tehdä kaiken nopeasti polku, mutta on monia kysymyksiä. Nopea tie on ydin kuljettaja kytkemistä osaksi minimoitu hypervisor, ei koko isku käyttöjärjestelmä. Tämä rajoittaa kirjastot ja palvelut palomuuri on käytettävissä ohjaukseen liikennevirtoja. Lisäksi olemme kytkemällä ytimen ajuri joten siellä on oltava takeet siitä, että se ei pullistua hypervisor, lisäävät hyökkäys pinnan tai häiritä muita hypervisor-toimintoja. VMware tekee koodin läpikäyntiä kaikille nopeasti polku ajurit ennen luovutusta. Joten jos voisin teoriassa toteuttaa kaikki minun koodin nopeasti polku, olisin tarvinnut VMware hyväksyntää ennen jokaista korjaustiedoston tai ominaisuus release.
Tässä mielessä, myyjä väitti "nopea tie" tukea todella tulee päätyä täytäntöön osan niiden koodin nopeasti polku, osa niin hidas tie ja luo liittimen välille. Kuinka paljon kuormaa on sijoitettu järjestelmän riippuu siitä, kuinka suuri osa tästä koodin toteutetaan nopeasti polku-ja kuinka paljon se suoritetaan hitaasti tiellä.
Mahdolliset Fast Path käyttöönotot
Esimerkiksi, toimittaja voi halutessaan kirjoittaa nopeasti polku ohjain, joka yksinkertaisesti tunnelit kaikki paketit takaisin hitaasti polun toteutettu palomuuri. Hidas tie-koodi ja määrittää, jos liikenne on kulunut tai putoaa, jossa kulunut paketit lähetetään takaisin nopeasti polku koodi liitettäväksi hypervisor ohjauskanavalla. Vaikka tämä olisi helpoin tapa käyttöön nopeasti polku, ja luultavasti turvallisin ja varmin, se antaa vähiten suorituskyvyn eduista. Kuormitus ei todennäköisesti olisi paljon parempi kuin täydellinen hitaasti polun toteuttamista. Mielestäni tämä vaihtoehto on hyvin houkutteleva vanhoja palomuuri myyjät, koska se vaatisi vähiten muutoksia nykyisiä koodia mutta sitä voidaan edelleen vaatia "nopeasti polku tuki".
Toinen vaihtoehto olisi käyttää hidasta polkua tilaa hallinnollisia toimintoja nopeasti polku kuljettaja toimii palomuurin moottori. Niinpä esimerkiksi palomuurin ylläpitäjä loisi politiikan avulla rajapinta käynnissä hidas tie VM, joka työnnä politiikka alas nopeasti polku kuljettaja. Tässä kokoonpanossa nopeasti polku kuljettajalla on kopio politiikan jotta liikenteen ohjaus voidaan toteuttaa välittömästi. Tuloksena on nopeampi liikennettä käsittely minimaalisella järjestelmän kuormitusta. Vaihtokauppa on bulkier koodia rengas 0.
On myös mahdollista toteuttaa seosta kaksi. Esimerkiksi voisin käyttää nopeaa polkua kuljettaja toteuttaa palomuurin politiikkaa, mutta sitten siirtää kaikki "hyväksytty"-paketteihin takaisin hidas tie järjestelmän tunkeutumista tarkistamiseen, virustarkistuksen ja mitä tarvitaan. Hyväksyttävä paketit ovat sitten siirretään takaisin nopeasti polku ohjain paikoilleen. Joten tässä setup kaikki "pudonnut" paketteihin hoidetaan nopeilla polkua, mutta silti paketteja vuorovaikutuksessa hitaasti polun osa.
Sivuhuomautuksena, sinun täytyy pitää yllä info mielessä harkittaessa kaikki vNetwork toteutukset, ei vain palomuurit. VNetwork API voidaan käyttää myös politiikan täytäntöönpanoa, QoS, kerääminen verkon tilastot jne. Esimerkiksi ensimmäiset vNetwork toteutus oli todella VMWare Lab Manager. Tätä työkalua käytetään itsepalveluperiaatteella varauksia eikä sisällä palomuuria komponentti (tämä toteutetaan kautta vShield).
Yhteenveto
Kun VMware tuote, joka integroituu VMsafe voi täysin olla "hidas polku" täytäntöönpano, on erittäin epätodennäköistä, että tuotetta voidaan pitää ainoastaan "nopea polku" toteuttamista. Mikä tahansa nopeasti polku tuote on todennäköisesti olemaan hybridi. On vain kysymys siitä, kuinka paljon koodia on olemassa "nopeasti polku" tilaa vastaan "hitaan polun" tilaa. Jos tuote vaatii nopeasti polku tuki, sinun täytyy kaivaa hieman syvemmälle analysoida täytäntöönpanoon, jotta voidaan yksilöidä mitään todellista suorituskyvyn eduista.
Liittyvien virkojen:
