随着数据中心虚拟化和云计算发展,虚拟网络的安全防护需求越来越多。本文通过实例介绍VMware vSphere虚拟网络的安全防护。
首先介绍VMware vSphere虚拟网络的基础知识。
ESXi主机使用虚拟交换机来路由虚拟网络内部流量以及虚拟网络和物理网络之间的网络流量。vSphere有三种虚拟交换机:
- vSS: vNetwork Standard Switch
- vDS: vNetwork Distributed Switch
- Cisco Nexus 1000v
vSS工作在单一ESXi主机中,适用于小规模环境,需要在每个ESXi主机上单独配置。vDS和Nexus 1000v具备更多高级网络特性, 但需要额外License。本文介绍在vSS环境下的虚拟网络防护。
vSS有三种类型的端口:
- vNIC: 虚拟机的网络接口
- VMKernel: 用于ESXi主机与外界物理网络或者VMware其他基础设施交互,如vMotion, vSAN等
- uplink: 连接虚拟交换机与主机物理网卡,将虚拟网络和物理网络联通
vSS通过端口组(Port Group)将vNIC端口分组,针对端口组,可以设置不同的VLAN ID,安全参数、流量整形参数等。在创建虚拟机时需要指定虚拟网络接口属的端口组。
vSphere虚拟网络的架构示意图如下: