2015年4月24日 星期五

S小魚仔S VMware vCloud Networking and Security 安裝 與 應用 手札

VMware vCloud Networking and Security」是專為「VMware vCenter Server」 集成而構建的安全虛擬設備套件。保護虛擬化數 據中心免遭攻擊和誤用的關鍵安全組件,可幫助您實現合規性強制要求目標。
VMware vCloud Networking and Security 包含對保護虛擬機至關重要的虛擬設備和服務。可通過基於Web 的用戶界面、「vSphere Client」 插件、
命令行界面 (CLI) 和 REST API 配置「VMware vCloud Networking and Security

VMware vCloud Networking and Security 包含 「產品

*「vShield
PS
( vShield ManagervShield 的集中式網絡管理組件,可作為虛擬設備安裝在 vCenter Server 環境中的任意 ESXi 主機上 )

*「vShield App
PS
( vShield App 是基於管理程序的防火牆,可保護虛擬數據中心中的應用程序免遭基於網絡的攻擊。組織 可查看 和 控制虛擬機之間的網絡通信 )

*「vShield Endpoint
PS
( vShield Endpoint 可將防病毒和防惡意軟件代理處理任務轉移到 VMware 合作夥伴提供的專用安全虛擬設備上 )

*「vShield Data Security
PS
( vShield Data Security 查看存儲在組織的虛擬化環境和雲環境中的敏感數據。根據 vShield Data Security 報告的衝突,您可以確保敏感數據受到充分保護,並且能評估與周圍環境中的法規是否相符 )

簡易架構圖


匯入 VMware vCloud Networking and Security「OVF

檢視一下「授權書

輸入「虛擬機名稱
選擇「V-Center」位置

選擇「Storage」存放位置

選擇「完整佈建消極式歸零」(預設)

選擇「網路

1. 設定 CLI 模式「Admin」帳戶 「密碼」 (一般模式)
2. 設定 CLI Privilege Mode 「密碼」(特權模式)

檢查一下「設定」清單,確認無誤,下一步

開始跑啊跑...

佈署完畢,就開啟「Guest VM

輸入 CLI 模式「Admin」帳戶 「密碼」 (一般模式)

輸入「?」檢查一下,有什麼特殊指令 

發現「Enable」模式
PS
因需要進入「Enable」模式,設定「IP」、「Subnet Mask」..等

輸入 CLI Privilege Mode 「密碼」(特權模式)

輸入「?」,找到「Setup

1. 輸入「Setup
2. 設定「IP」、「Subnet Mask」、「Default gateway」...等
3. 輸入「Y」(確定)

顯示「Please Logout And Login Back Again
輸入「Exit」即可

開啟「瀏覽器」,輸入「Guest VM」設定「IP

輸入「帳戶」(admin)、「密碼」(default)

選擇「Setting & Reports」=>「V-Center」=>「Edit
PS
註冊至「V-Center」Plugin

輸入「V-Center Server」帳號、密碼

進行「憑證註冊

看到此畫面,表示「V-Center Server」已經註冊「成功」 

使用「VMware vSphere Client」登入「V-Center Server」,在「首頁」就會發現「vShield」功能

進入「vSheld」之後,點選「ESXi」Host,進行安裝「vShield App
PS
如果您每一台「ESXi」都需要進行「保護」,那麼都需要安裝「vShield App」。

1. 勾選「vShield App」進行「Install
2. 選擇「DataStore」、 選擇「Management Port Group」、輸入「vShield App」IP
3. 點選「Install
PS
輸入「vShield App IP address」需要「全新」IP,因為會啟用一台「Guest VM」。

安裝完畢,在「vShield」就會顯示「Uninstall」。

使用「VMware vSphere Client」登入「V-Center」,點選「ESXi」(Host),在「網路功能」就會發現,自動建立「vmservice-vswitch」標準交換器,產生「vShield AppGuest VM,會自顯示「ESXi」主機名稱。

登入「vShield

點選「Guest VM」內「網路卡」介面,顯示「vShield」圖示,表示「Guest VM」已經被「vShield App」Fire Wall 保護。

完成上述步驟,接下來就進入「重點


使用「vShield App」設定「防火牆」規則 使「Guest Vm」不能「上網

VMware vSphere Client」登入「V-Center」,點選「vShield App

1. 選擇「Data-Center」(資料中心)
2. 選擇「App Firewall
3. 選擇「一般
4. 檢查「Rule」規則,竟然是「Any」to「Any

1. 加入一條「規則
2. 輸入「名稱
3. 「Service」欄位,點選「+

找到「HTTP」、「HTTPS

加入「選項」 

Action」欄位,點選「+

選擇「Block

設定完成,記得「Publish Changes


開啟「Guest VM」,使用「IE」瀏覽器,發現「無法上網」,規則就成功嚕



參考資料