Обзор службы vRealize Suite - vRealize Suite 2017 · ·...
48
Обзор службы vRealize Suite vRealize Suite 2017
Transcript of Обзор службы vRealize Suite - vRealize Suite 2017 · ·...
Обзор службы vRealize SuitevRealize Suite 2017
Обзор службы vRealize Suite
2 VMware Inc.
Самая последняя техническая документация доступна на веб-сайте VMware:
https://docs.vmware.com/ru/
Также на веб-сайте VMware доступны последние обновления продуктов.
Все замечания по данной документации отправляйте по адресу:
(c) VMware Inc., 2017. Все права защищены. Информация об авторских правах и товарных знаках.
VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com
Содержание
Знакомство с VMware vRealize Suite 5
1. Знакомство с vRealize Suite 7
Возможности vRealize Suite 7vRealize Suite Редакции и продукты 8Лицензирование vRealize Suite 11
2. Обзор архитектуры vRealize Suite 13
Программный центр обработки данных 13Концептуальное проектирование среды vRealize Suite 15Продукты vRealize Suite в кластере управления 17Инфраструктура ядра SDDC 18
Виртуализация и управление инфраструктурой vRealize Suite 19Управление основной инфраструктурой vRealize Suite 22Мониторинг инфраструктуры ядра vRealize Suite 24Предоставление службы инфраструктуры 25Предоставление платформы как услуги 26
Вопросы безопасности, связанные с решением vRealize Suite 27Проверка подлинности и авторизация в vCloud Suite 28Защита данных и TLS 31Безопасность физического уровня 32Обеспечение безопасности виртуального уровня 35Использование VMware NSX для безопасных рабочих нагрузок 38
3. Контрольный список для установки vRealize Suite 43
4. Обновление с предыдущих версий vRealize Suite или vCloud Suite 45
Указатель 47
VMware Inc. 3
Обзор службы vRealize Suite
4 VMware Inc.
Знакомство с VMware vRealize Suite
Обзор VMware vRealize Suite предоставляет обзорные сведения об архитектуре и информацию поустановке, настройке и использованию vRealize Suite.
Чтобы помочь начать работу, профессиональные обсуждения процесса установки, настройки ииспользования направляют пользователей к специализированным наборам отдельных продуктов дляподробных концепций и процедур.
Целевая аудиторияДанная информация адресована пользователям, которым необходимо развернуть и использоватьпродукты vRealize Suite для мониторинга и управления программным центром обработки данных(SDDC). Эта информация предназначена для опытных системных администраторов Windows илиLinux, которые знакомы с технологией виртуальных машин и операциями в центре обработкиданных.
Глоссарий VMware Technical PublicationsVMware Technical Publications предоставляет глоссарий с терминами, которые могут быть незнакомычитателю. Определения терминов, используемых в технической документации VMware, можнонайти на странице http://www.vmware.com/support/pubs.
VMware Inc. 5
Обзор службы vRealize Suite
6 VMware Inc.
Знакомство с vRealize Suite 1vRealize Suite обеспечивает комплексную платформу управления облачными системами дляпредоставления приложений, мониторинга и управления в VMware vSphere и других гипервизорах,в том числе физической инфраструктуры, а также частных и общедоступных облачных систем.Продукт vRealize Suite доступен в стандартной, расширенной и корпоративной редакциях
В эту главу входят следующие темы:
n Возможности vRealize Suite, на стр. 7
n vRealize Suite Редакции и продукты, на стр. 8
n Лицензирование vRealize Suite, на стр. 11
Возможности vRealize SuiteИнтеллектуальные операции, автоматизированная ИТ-служба, инфраструктура как услуга (IaaS) иготовые операции по разработке для ИТ-службы являются наиболее распространенными случаямииспользования решения для управления облачными системами. Интеллектуальные операциипозволяют предоставлять оптимизированные и автоматизированные операции центра обработкиданных. Автоматизированная ИТ-служба, инфраструктура как услуга (IaaS) и готовые операции поразработке для ИТ-службы включают службы приложения и инфраструктуры.
Управление интеллектуальными операциямиИнтеллектуальные операции активно направлены на управление работоспособностью,производительностью и ресурсами ИТ-служб в гетерогенных и гибридных облачных средах дляулучшения производительности и доступности ИТ-служб.
Автоматизированная ИТ-служба и инфраструктура как услугаАвтоматизированная ИТ-служба и инфраструктура как услуга позволяют автоматизироватьпредоставление и текущее управление ИТ-инфраструктурой, чтобы сократить время отклика назапросы о предоставлении ИТ-ресурсов и улучшить текущее управление подготовленных ресурсов.
Готовые операции по разработке для ИТ-службыГотовые операции по разработке для ИТ-службы позволяют построить облачное решение длякоманд разработчиков, которые могут предоставлять полный набор приложений со следующимивозможностями.
n Поддержка выбора разработчика для доступа к ресурсам с помощью интерфейса API и GUI.
n Подготовка ресурсов в гибридном облаке.
VMware Inc. 7
n Расширение объема решения путем направленности на непрерывное предоставлениеприложений с последующим ускорением.
vRealize Suite Редакции и продуктыПродукт vRealize Suite доступен в стандартной, расширенной и корпоративной редакциях. РедакцияvRealize Suite содержит отдельные продукты разных редакций с разными возможностями.
В стандартной, расширенной и корпоративной редакциях vRealize Suite представлены разныенаборы функций, см. следующую таблицу.
Таблица 1‑1. Возможности редакций vRealize Suite
ПродуктvRealize Suite Возможность vRealize Suite
StandardEdition
AdvancedEdition
EnterpriseEdition
ПродуктvRealize OperationsManager (включаяvRealize Log InsightиvRealizeInfrastructureNavigator)
Анализ журналов Да Да Да
Платформа управления Да Да Да
Визуализация Да Да Да
Управление политиками Да Да Да
Мониторинг и анализпроизводительности
Да Да Да
Управление емкостью Да Да Да
Балансировка рабочей нагрузки Да Да Да
Управление изменениями,конфигурациями исоответствием требованиям
Да Да Да
Сопоставление зависимостейприложений
Да Да Да
Мониторинг приложений Да Да
vRealize BusinessCloud
Автоматические контрольиспользования, расчет затрат ивыбор ценовой категории длявиртуальной инфраструктуры
Да Да Да
Автоматический выбор ценовойкатегории для каталога услуг(интегрировано с vRealizeAutomation)
Да Да Да
Анализ использованиявиртуальной инфраструктуры
Да Да Да
Экспортируемый набор данных сфункцией автоматическойотчетности
Да Да Да
Сравнение затрат наобщедоступное облако иинфраструктуру виртуализации
Да Да Да
Анализ использования, расчетзатрат и выбор ценовойкатегории для общедоступногооблака
Нет Да Да
Определение уровняпотребления ресурсов на основеролей в виртуальнойинфраструктуре иобщедоступном облаке
Нет Да Да
Обзор службы vRealize Suite
8 VMware Inc.
Таблица 1‑1. Возможности редакций vRealize Suite (продолжение)
ПродуктvRealize Suite Возможность vRealize Suite
StandardEdition
AdvancedEdition
EnterpriseEdition
Оптимизация центра обработкиданных (интегрировано сvRealize Operations Manager)
Нет Да Да
Количественная оценкавозможностей реорганизациивиртуальной инфраструктуры(интегрировано сvRealize Operations Manager)
Нет Да Да
Настраиваемая отчетность,визуальные диаграммы и APIдля автоматического извлеченияданных
Нет Да Да
vRealize Automation Возможность самообслуживанияс единым каталогом услуг ифункциями API
Нет Да Да
Поддержка виртуальных,физических и общедоступныхоблачных решений от разныхпоставщиков
Нет Да Да
Инфраструктура как услуга(IaaS). Комплексное управлениежизненным циклом приподготовке одно- имногоуровневой компьютернойорганизации
Нет Да Да
Инфраструктура как услуга(IaaS). Конфигурация сети ибезопасности
Нет Да Да
Все как услуга (XaaS). Созданиенастраиваемых ИТ-служб
Нет Да Да
Все как услуга (XaaS).Возможность развертывания вкачестве элемента каталога илипромежуточной операции
Нет Да Да
Создание приложений.Создание компонентовпрограммного обеспечения иподготовка стека приложений
Нет Нет Да
Создание приложений.Динамическое созданиесценариев и связываниезависимостей
Нет Нет Да
Создание приложений.Конфигурация безопасности исети, ориентированная на работус приложениями
Нет Нет Да
Продукты vRealize SuiteVMware vRealize Suite включает некоторые продукты или набор этих продуктов, в зависимости отприобретенной редакции vRealize Suite.
Глава 1 Знакомство с vRealize Suite
VMware Inc. 9
Таблица 1‑2. Продукты, поставляемые в комплекте с vRealize Suite
Название продукта Описание
vRealize Suite Lifecycle Manager Автоматизирует операции всего решения vRealize Suite от нулевого довторого дня, упрощая работу. vRealize Suite Lifecycle Managerавтоматизирует управление жизненным циклом с помощью однойконсоли управления, освобождая ресурсы клиентов под критическиважные для бизнеса инициативы, при этом улучшая сроки реализациипреимуществ, надежности и согласованности.
vRealize Operations Manager Сбор данных о производительности от каждого объекта на каждомуровне виртуальной среды: от каждой виртуальной машины и драйверовдисков до центров обработки данных и кластеров целиком. Хранение ианализ данных, в том числе для оперативного предоставленияинформации о проблемах или потенциальных проблемах с виртуальнойсредой.
vRealize Infrastructure Navigator Автоматическое обнаружение служб приложений, отображение связей,сопоставление зависимостей приложений на виртуализированныхвычислительных и сетевых ресурсах, а также ресурсах для хранения.
vRealize Log Insight Масштабируемое агрегирование журналов и индексация дляvRealize Suite, включая все редакции vSphere, с возможностямиоперативного поиска и анализа. Для Log Insight предусмотрена функциясбора, импорта и анализа данных журналов для оперативногоустранения неполадок, связанных с работой системы, служб иприложений в физических, виртуальных и облачных средах.
vRealize Automation Помощь в развертывании и подготовке облачных бизнес-служб вчастных и общедоступных облаках, физической инфраструктуре,гипервизорах и поставщиках общедоступных облаков.vRealize Automation Enterprise включает в себя vRealize AutomationApplication Services.
vRealize Orchestrator Упрощение автоматизации сложных ИТ-задач и интеграция спродуктами vRealize Suite для адаптации и расширения процессапредоставления услуг и управления операциями, эффективной работы ссуществующей инфраструктурой, средствами и процессами.
vRealize Business Предоставление информации о финансовых аспектах облачнойинфраструктуры для оптимизации и совершенствования такихопераций.
Редакции vRealize Suite и соответствующие редакции продуктовНекоторые редакции продуктов доступны в стандартной (Standard), расширенной (Advanced) икорпоративной (Enterprise) редакциях vRealize Suite.
Таблица 1‑3. Редакции программных продуктов vRealize Suite в редакциях пакета продуктов
Редакция продукта vRealizevRealize SuiteStandard Edition
vRealize SuiteAdvanced Edition
vRealize SuiteEnterprise Edition
VMware vRealize Automation AdvancedEdition
Нет Да Нет
VMware vRealize Automation EnterpriseEdition
Нет Нет Да
VMware vRealize Operations ManagementSuite (Advanced)
Да Да Да
Мониторинг приложенийVMware vRealize Operations ManagementSuite
Нет Нет Да
VMware vRealize Business Cloud StandardEdition
Да Нет Нет
Обзор службы vRealize Suite
10 VMware Inc.
Таблица 1‑3. Редакции программных продуктов vRealize Suite в редакциях пакета продуктов(продолжение)
Редакция продукта vRealizevRealize SuiteStandard Edition
vRealize SuiteAdvanced Edition
vRealize SuiteEnterprise Edition
VMware vRealize Business Cloud AdvancedEdition
Нет Да Да
VMware vRealize Orchestrator AdvancedEdition
Нет Да Нет
VMware vRealize Orchestrator EnterpriseEdition
Нет Нет Да
VMware vRealize Log Insight Да Да Да
VMware vRealize Infrastructure Navigator Да Да Да
Лицензирование vRealize SuiteПродукты в vRealize Suite можно лицензировать отдельно или как часть пакета vRealize Suite 2017.
Чтобы лицензировать продукты vRealize Suite, нужно приобрести и использовать определенный типлицензии.
Таблица 1‑4. Типы лицензии, совместимые с продуктами vRealize Suite
Тип лицензии Возможности лицензии
Лицензия для отдельного продукта Некоторые продукты доступны в качестве автономных,и они лицензируются по количеству виртуальныхмашин. Лицензии для отдельного продуктапредназначены для рабочих нагрузок в общедоступномоблаке или на физическом оборудовании.
Портативная единица лицензирования (PLU)vRealize Suite
С помощью PLU можно подготовить рабочие нагрузкии управлять ими в средах vSphere и гибридных средах,в том числе средах поставщиков общедоступного ичастного облака. Лицензия PLU является номером SKU,который измеряет нагрузки в средах vSphere игибридных средах и поддерживает показатели ЦП ивиртуальной машины. Одна лицензия PLU позволяетиспользовать на одном ЦП неограниченное количествовиртуальных машин или 15 экземпляровоперационной системы.
Сведения о лицензиях PLU см. здесь: Лицензирование, ценообразование и комплектация VMwarevRealize Suite и vCloud Suite.
Глава 1 Знакомство с vRealize Suite
VMware Inc. 11
Обзор службы vRealize Suite
12 VMware Inc.
Обзор архитектуры vRealize Suite 2В архитектуре описаны способы взаимодействия продуктов vRealize Suite между собой и с системой вцентре обработки данных для предоставления программного центра обработки данных (SDDC).
В эту главу входят следующие темы:
n Программный центр обработки данных, на стр. 13
n Концептуальное проектирование среды vRealize Suite, на стр. 15
n Продукты vRealize Suite в кластере управления, на стр. 17
n Инфраструктура ядра SDDC, на стр. 18
n Вопросы безопасности, связанные с решением vRealize Suite, на стр. 27
Программный центр обработки данныхПрограммный центр обработки данных (SDDC) предоставляет различные типы возможностейблагодаря комплексным функциям на основе базовой инфраструктуры. Чтобы включить всефункции vRealize Suite, необходимо выполнить ряд операций по установке и настройке.
Предоставление полных операционных возможностей vRealize Suite организации или клиентуявляется структурированным процессом. В крупных организациях могут быть включены циклыоценки, проектирования, развертывания, передачи знаний и проверки решения. В зависимости отконкретной организации необходимо планировать расширенный процесс с включением различныхролей.
Далеко не для каждой среды единовременно требуется полный функционал vRealize Suite. Начните сразвертывания базовой инфраструктуры центра обработки данных. Это позволит добавлять функциипри необходимости. Для каждого уровня SDDC может потребоваться планирование и выполнениеотдельного процесса развертывания.
VMware Inc. 13
Рисунок 2‑1. Уровни SDDC
Управлениеслужбами
Управление портфолио
Управлениеоперациями
Уровеньуправленияоблачнымисистемами
Каталог служб
Портал
Оркестрация
Устойчивостьфункционирования
Отказоустойчивость и аварийное
восстановление
Резервное
восстановлениекопирование и
Гипервизор
Пулы ресурсов
Управление
Уровеньвиртуальной
инфраструктуры
Вычисления
Хранилище
Сеть
Физическийуровень
Безопасность
РепликацияСоответствие
Риск
Управление
самообслуживания
виртуализацией
требованиям
Физический уровень Это самый нижний уровень решения. Он включает в себявычислительные и сетевые компоненты, а также компонентыхранилища. Вычислительный компонент содержит серверы сархитектурой x86, на которых запускаются рабочие нагрузки дляуправления и периметра, а также вычислительные рабочие нагрузкиарендатора. Компоненты хранения предоставляют физическуюплатформу для SDDC и облачных систем автоматизации ИТ-процессов.
Уровень виртуальнойинфраструктуры
Уровень виртуальной инфраструктуры включает в себя платформувиртуализации с гипервизором, объединения ресурсов и элементуправления виртуализацией. Продукты VMware на этом уровне:vSphere, VMware NSX, ESXi и vCenter Server. Эти продукты создаютнадежную виртуализированную среду, в которую интегрируются вседругие решения. Отделение ресурсов от физического уровняпредоставляет платформу для интеграции оркестрации и решенийVMware по мониторингу. Дополнительные процессы и технологиииспользуются в качестве основы инфраструктуры для включенияинфраструктуры как услуги (IaaS) и платформы как услуги (PaaS).
Уровень управленияоблачными системами
Уровень управления облачными системами включает в себя каталогслужб, содержащий устройства для развертывания, оркестрацию,предоставляющую рабочие процессы для развертывания каталогаэлементов, и портал самообслуживания, позволяющий конечнымпользователям использовать SDDC. vRealize Automation предоставляетпортал и каталог, а встроенные функции vRealize Orchestratorпозволяют управлять рабочими процессами для автоматизациисложных ИТ-процессов,
Управление службами Используйте управление службами для отслеживания и анализаопераций по использованию нескольких ресурсов данных в SDDC снесколькими областями. Выполняйте развертываниеvRealize Operations Manager и vRealize Log Insight в нескольких узлахдля длительной доступности и увеличенных коэффициентов обработкижурнала.
Обзор службы vRealize Suite
14 VMware Inc.
Устойчивостьфункционирования
Используйте устойчивость функционирования для создания задач порезервному копированию в vSphere Data Protection дляvRealize Operations Manager, vRealize Log Insight, VMware NSX иvRealize Automation. При возникновении ошибки оборудования можновосстановить компоненты этих продуктов из сохраненных резервныхкопий.
Безопасность VMware предоставляет продукт Compliance Reference ArchitectureFramework и платформу, соответствующую требованиям иподготовленную к аудиту. Клиенты используют платформу, чтобысоответствовать жестким требованиям для виртуальных рабочихнагрузок и управлять бизнес-рисками. Продукты VMware исовместимые продукты партнеров тщательно сопоставлены длясоответствия требованиям из авторитетных источников, таких как PCIDSS, HIPAA, FedRAMP и CJIS. Базовые документы по ComplianceReference Architecture Framework:
n В руководстве по применимости продуктов содержатся описанияпакетов продуктов VMware на основе «продукт-продукт», в которыхрассматривается регулирование наряду с сопоставлениемнормативного контроля с функциями продукта.
n Руководства по архитектурному проектированию предоставляютрасчеты для построения безопасной совместимой среды VMwarevRealize, в которой соблюдены определенные нормы.
n Проверенные справочные документы по архитектурепредоставляют сведения по регулированию из аудиторскогоисследования, которые можно применить к своей среде.
Чтобы получить доступ к документам, перейдите к VMware SolutionExchange и выберите «Решения, соответствующие требованиям».
Можно улучшить среду vRealize Suite с помощью интеграции дополнительных продуктов и службVMware. В этих продуктах представлены такие возможности, как аварийное восстановление дляоблачных систем, программное хранилище и программные сетевые подключения.
Концептуальное проектирование среды vRealize SuiteДля запуска развертывания vRealize Suite необходимо несколько физических узлов. Самая лучшая инаиболее безопасная основа для масштабирования среды заключается в распределении своих узлов вобласти управления, задания периметра и кластера полезной нагрузки, чтобы установить принципыразвертывания, которое в дальнейшем можно масштабировать до десятков тысяч виртуальныхмашин.
Кластер запускает всю инфраструктуру vRealize Suite, в том числе пользовательские рабочиенагрузки.
Развертывание и использование vRealize Suite предусматривает технологическое и операционноепреобразование. В связи с тем, что новые технологии разворачиваются в центре обработки данных,организации необходимо также реализовать соответствующие процессы и назначить необходимыероли. Например, могут потребоваться процессы для обработки новой собираемой информации. Длякаждого продукта управления необходим один или несколько администраторов, у некоторых из нихмогут быть различные уровни доступа.
На схеме показаны технологические возможности и организационные конструкции.
Глава 2 Обзор архитектуры vRealize Suite
VMware Inc. 15
Рисунок 2‑2. Концептуальное проектирование среды vRealize Suite
Подсистема балансировки нагрузки
Арендатор
Организация
Поставщик
Операции
Портал Портал
Управление виртуализацией
Пограничный кластер Вычислительный кластер
Подсистема инфраструктурыкак услуги, платформы как
услуги, ИТ как услуги Управлениепроизводительностью
и емкостью
УправлениеИТ-бизнесом
Управлениеслужбами
Управлениеоперациями
Управлениеинфраструктурой
• Три узла на начальном этапе• Два кластера на начальном
этапе
• Три узла на начальном этапе
Кластер управления
• Три узла на начальном этапе
Оркестрация
Кластеры (каждый как минимум с тремя узлами) являются основой для реализации vRealize Suite.
Кластер управления Узлы в кластере управления запускают компоненты управления,необходимые для поддержки SDDC. Для каждого физическогорасположения требуется отдельный кластер. Можно вручнуюустановить узлы ESXi, которые запускают кластер управления, инастроить их под использование локальных жестких дисков длязагрузки.
Кластер управления обеспечивает изоляцию ресурсов. Ресурсыкластера, зарезервированные для служб управления, мониторинга иинфраструктуры, нельзя использовать для рабочих и тестовыхприложений, а также приложений других типов. Изоляция ресурсовпредоставляет службам инфраструктуры и управления возможностьдля работы с оптимальным уровнем производительности. Отдельныйкластер может удовлетворять политике организации по обеспечениюфизической изоляции между управлением оборудованием и егопользовательской полезной нагрузкой.
Пограничный кластер Пограничный кластер поддерживает сетевые устройства, которыеобеспечивают взаимосвязанность между средами. Он предоставляетзащищенную емкость, с помощью которой внутренние сети центраобработки данных соединяются через шлюзы с внешними сетями. Вкластере располагаются сетевые пограничные службы и элементуправления сетевым трафиком. Все сетевые подключения со внешнимдоступом прекращаются в этом кластере.
Обзор службы vRealize Suite
16 VMware Inc.
Выделенный экземпляр vCenter Server, сопряженный с NSX, управляетузлами ESXi в пограничном кластере. Тот же экземпляр vCenter Serverуправляет кластерами полезной нагрузки, для которых требуетсядоступ к внешним сетям.
Пограничный кластер может быть небольшим и состоять из узлов ESXiс меньшей емкостью, чем узлы в кластерах управления и полезнойнагрузки.
Кластер полезнойнагрузки
Кластер полезной нагрузки поддерживает предоставление всех другихне пограничных клиентских рабочих нагрузок. Кластер остается пустым,пока пользователь среды не начнет заполнять его с помощьювиртуальных машин. Можно масштабировать, добавляя кластерыполезной нагрузки.
В связи с ростом размера центра обработки данных, можно создаватьновые пограничные кластеры и кластеры полезной нагрузки, а такжемасштабировать за счет добавления ресурсов или узлов.
Продукты vRealize Suite в кластере управленияПо мере добавления возможностей количество продуктов vRealize Suite в кластере управленияувеличивается. Кластер управления должен содержать минимальный набор продуктов. Если нужныдополнительные возможности, можно расширить набор продуктов.
Рисунок 2‑3. Продукты VMware в кластере управления
vRealizeBusinessfor Cloud
vRealizeInfrastructure
Navigator
Кластер управления
Управление
vCenter Server
Оркестрация
vRealizeOrchestration
Сеть
VMwareNSX
Управление производительностью и емкостью
vRealizeOperationsManager
PaaS
vRealizeApplication
Service
Непрерывность бизнес-процессов и аварийное восстановление
vSphereReplication
vSphereData
Protection
SiteRecoveryManager
IaaS
vRealizeAutomation
Репликация надополнительнуюплощадку
Глава 2 Обзор архитектуры vRealize Suite
VMware Inc. 17
Минимальный набор продуктов в кластере управленияВ кластер управления всегда входит экземпляр vCenter Server. Чтобы подготовить среду длявозможностей инфраструктуры как услуги (IaaS) и платформы как услуги (PaaS), на раннем этапеможно развернуть устройство vRealize Orchestrator в качестве продукта vRealize Suite.
vRealize Suite не включает в себя набор сетевых решений VMware по умолчанию. NSX for vSphereможет выполнять сетевые функции кластера управления vRealize Suite. NSX обеспечивает сетевуювиртуализацию на уровнях 2–7 с помощью политик безопасности, которые соответствуют рабочимнагрузкам в центре обработки данных, для быстрой подготовки сети и управления ею. Вы можетеприобрести NSX for vSphere по сниженной стоимости дополнительных компонентов.
Примечание. Решение vCloud Networking and Security было включено в предыдущую версиюvRealize Suite и выполняло сетевые функции кластера управления. vCloud Networking and Securityбольше не входит в состав vRealize Suite.
Расширенный набор продуктовВ связи с растущей сложностью среды необходимо установить и настроить дополнительныепродукты. Например, vRealize Operations Manager и соответствующие продукты предоставляютрасширенные функции мониторинга. vRealize Automation является ключевым элементом решенияинфраструктуры как услуги, потому что предоставляет возможность быстрого моделирования иподготовки серверов и рабочих столов в виртуальных, физических, частных, общедоступных игибридных облачных инфраструктурах. Экземпляр vCenter Site Recovery Manager можетпредоставлять репликацию для второй площадки для аварийного восстановления.
Инфраструктура ядра SDDCИнфраструктура ядра SDDC состоит из продуктов vSphere и vRealize Suite, напримерvRealize Operations Manager и vRealize Log Insight для мониторинга, vRealize Automation иvRealize Orchestrator для управления рабочими процессами, а также vRealize Business Cloud дляучета затрат.
Инфраструктура ядра включает в себя физический уровень, уровень виртуальной инфраструктуры иуровень управления облачными системами. Виртуализация ядра является частью уровнявиртуальной инфраструктуры, а службы каталога и оркестрации — частью уровня управленияоблачными системами. Слой виртуальной инфраструктуры позволяет консолидировать иобъединять базовые физические ресурсы. Уровень управления облачными системами предоставляетвозможности оркестрации и снижает затраты, связанные с функционированием локального центраобработки данных. Уровень управления службами предоставляет возможность мониторинга длязаблаговременного определения и устранения неотложных проблем с помощью прогнозируемогоанализа и интеллектуальных оповещений, что гарантирует оптимальную производительность идоступность приложений и инфраструктуры.
Продукты vRealize Suite инфраструктуры SDDC позволяют эффективно управлятьпроизводительностью, доступностью и емкостью ресурсов в виртуальной и гибридной облачнойсреде. Базовая инфраструктура позволяет управлять гибридными и гетерогенными облачнымисредами локально или во внешней среде на основе vSphere или сторонних технологий.
При наличии инфраструктуры SDDC можно расширить ее для предоставления инфраструктуры какуслуги (IaaS) и платформы как услуги (PaaS) для заказчиков ИТ-ресурсов как внутри организации, таки за ее пределами. IaaS и PaaS завершают платформу SDDC, а также предоставляют дополнительныевозможности для расширения функций. С помощью IaaS и PaaS можно увеличить гибкость ИТ-операций и операций разработки.
Обзор службы vRealize Suite
18 VMware Inc.
Рисунок 2‑4. Этапы построения инфраструктуры SDDC
ОркестрацияВиртуализация МониторингГотовность к работе с инфраструктурой
SDDC
Виртуализация и управление инфраструктурой vRealize SuiteРазные продукты VMware, входящие в vRealize Suite, предоставляют виртуализацию и возможностиуправления, необходимые для платформы vRealize Suite. Для создания надежной платформы дляцентра обработки данных необходимо установить и настроить vCenter Server, ESXi, а такжеподдерживаемые компоненты.
Развертывание гибридного облакаС помощью vRealize Suite предприятия могут расширить свои рабочие нагрузки от частного дообщедоступного облака, капитализацию по требованию, самообслуживание и эластичнуюподготовку конечных точек, используя преимущество той же среды управления, надежности ипроизводительности включенного частного облака vRealize Suite.
Использование vRealize Automation и vRealize Orchestrator на уровне управления облачнымисистемами в SDDC позволяет предприятиям подготовить виртуальные машины и конечные точки,которые можно расширять за пределами сред vSphere до сред на основе vSphere. Среды, неотносящиеся к продукту vSphere и основанные на vSphere, могут находиться у частных поставщиковцентров обработки данных или служб в общедоступном облаке. На уровне управления службами вSDDC разрешен мониторинг конечных точек vSphere и конечных точек на основе vSphere.vRealize Operations Manager и vRealize Log Insight являются ключевыми продуктами на уровнеуправления службами, что позволяет предприятиям предоставлять анализ виртуальных машин.
Вопросы по проектированию ESXi и vCenter ServerПринятые решения по проектированию для виртуализации SDDC должны быть направлены наразвертывание и поддержку характерных особенностей ESXi и vCenter Server.
Следует рассмотреть следующие решения по проектированию при планировании развертыванияузлов ESXi.
ESXi
n Используйте такой инструмент, как VMware Capacity Planner, для анализа производительности ииспользования существующих серверов.
n Используйте поддерживаемые на сервере платформы, которые перечислены в документе Руководство по вопросам совместимости продуктов VMware.
n Убедитесь в том, что оборудование соответствует минимальным требованиям системы длязапуска ESXi.
n Для устранения изменчивости и достижения управляемой и поддерживаемой инфраструктурынормализуйте физическую настройку узлов ESXi.
n Узлы ESXi можно развернуть вручную или с помощью автоматизированного метода установки,такого как vSphere Auto Deploy. Один из допустимых методов заключается в развертываниикластера управления вручную и реализации vSphere Auto Deploy по мере роста среды.
Глава 2 Обзор архитектуры vRealize Suite
VMware Inc. 19
vCenter Server
n Можно развернуть vCenter Server как виртуальное устройство на основе ОС Linux или нафизической/виртуальной машине на основе 64-разрядной версии Windows.
Примечание. В системе Windows продукт vCenter Server можно масштабировать дляподдержки до 10 000 работающих виртуальных машин. Устройство vCenter Server представляетсобой альтернативный выбор, который предварительно настроен и позволяет ускоритьразвертывание и сократить затраты на лицензирование операционной системы. Прииспользовании внешней базы данных Oracle устройство vCenter Server может поддерживать до10,000 виртуальных машин.
n Предоставьте достаточный объем ресурсов виртуальной системы для vCenter Server.
n Разверните vSphere Web Client и vSphere Client для пользовательских интерфейсов среды.Разверните vSphere Command Line Interface (vCLI) или vSphere PowerCLI для управлениясценариями и командной строкой. vCLI и vSphere SDK for Perl входят вvSphere Management Assistant.
Рекомендации при проектировании сетейПо мере того как повышается мощность виртуализации и облачных вычислений, изменяетсятрадиционная трехуровневая сетевая модель. Традиционную модель «ядро-агрегирование-доступ»постепенно заменяет схема «листья и ствол».
Сеть должна отвечать потребностям разных сущностей организации. Среди этих сущностей можноназвать приложения, службы, хранилище, администраторов и пользователей.
n Чтобы обеспечить приемлемый уровень безопасности, используйте, где это нужно,контролируемый доступ или изоляцию.
n Для упрощения архитектуры сети воспользуйтесь схемой «листья и ствол».
n Чтобы поддержать перенос и отработку отказа виртуальных машин, настройте на узлах общиеимена групп портов.
n Чтобы повысить безопасность и производительность, распределите ключевые службы отдельнопо сети.
Часто при работе в центре обработки данных настоятельно рекомендуется изолировать сеть. В средеvRealize Suite может быть несколько ключевых сетей VLAN, которые занимают несколько физическихкластеров.
В следующей иллюстрации все узлы являются частью ESXi Management, vSphere vMotion, VXLAN иVLAN NFS. Узел управления подключен также к внешней сети VLAN, а каждый пограничный узелподключается к сети VLAN определенного клиента.
В этом случае в подключениях используется протокол Link Aggregation Control Protocol (LACP),который предоставляется решением vSphere Distributed Switch. Он используется для агрегированияпропускной способности физических сетевых карт на узлах ESXi, подключенных к каналам портовLACP. На распределенном коммутаторе можно создать несколько групп агрегирования каналов.Такая группа включает в себя несколько портов и подключает к ним физические сетевые карты. Этипорты группируются в группе агрегирования каналов в целях избыточности, и сетевой трафикраспределяется между портами — в рамках балансировки нагрузки — с помощью алгоритма LACP.
См. Поддержка LACP в vSphere Distributed Switch.
Обзор службы vRealize Suite
20 VMware Inc.
Рисунок 2‑5. Разные типы узлов ESXi подключаются к разным сетям VLAN
Управление VLAN ESXi
VLAN vSphere vMotion
VLAN VTEP (VXLAN)
Пользователь VLAN 1(узел Edge)
Пользователь VLAN 2(узел Edge)
vSphere Distributed Switch
LAG 1–1LAG 1LAG 1–0
ESXi:узел 1
vmnic1vmnic0
Канал портаLACP
Физический коммутатор
VLAN NFS
Внешнее управление VLAN(узел управления)
ESXi:узел 2
vmnic1vmnic0
Канал портаLACP
Рекомендации по проектированию общего хранилищаПравильное проектирование обеспечивает основу для эффективного функционированиявиртуального центра обработки данных.
n Для удовлетворения различных потребностей приложений, служб, администраторов ипользователей проектирование хранилища необходимо оптимизировать.
n Уровни хранилища имеют различные характеристики производительности, емкости идоступности.
n Проектирование различных уровней хранилища экономически эффективно, поскольку некаждому приложению требуется дорогое высокоэффективное высокодоступное хранилище.
n Fibre Channel, NFS и iSCSI — это надежные и практичные варианты для поддержкипотребностей виртуальных машин.
На следующей иллюстрации показано, как на узлах различных типов используются разные массивыхранения. Узлам в кластере управления требуется хранилище для управления, мониторинга ипорталов. Узлам в пограничном кластере требуется хранилище, доступное для клиента. Узел вкластере полезной нагрузки имеет доступ к клиентскому хранилищу. Разные узлы в кластереполезной нагрузки имеют доступ к разным хранилищам.
Администратор хранилища может полностью управлять хранилищем, но у него нет доступа кклиентским данным.
Глава 2 Обзор архитектуры vRealize Suite
VMware Inc. 21
Рисунок 2‑6. Хранилище, поддерживающее различные узлы
Виртуальное устройство
Виртуальноеустройство
Виртуальноеустройство
ПООС
ПООС
ПООС
Виртуальноеустройство
Виртуальноеустройство
Виртуальноеустройство
Арендатор n
Кластер управления Пограничный кластер Вычислительный кластер
Арендатор 1
Узел ESXi Узел ESXi Узел ESXi
Общие хранилищаданных
Управление Мониторинг Порталы Устройства Edge: группа 1
Полезныеданные: SLA 1
Программно-конфигурируемое хранилище
Определяемое политикой управление хранилищемВиртуализированные службы данныхАбстракция хранилища гипервизора
SAN, NAS или DAS(сторонний продукт или VMware Virtual SAN)
Физические диски
SSD FC15K FC10K SATA
VMDK
Файлы подкачки и журналы
Пример LUN
Уровень 0 Уровень 1Уровень 2 Уровень 3
Администраторхранилища
Общие хранилищаданных
УстройстваEdge: группа 2
УстройстваEdge: группа N
Полезныеданные: SLA 2
Полезныеданные: SLA N
SSD FC15K FC10K SATA
Уровень 0 Уровень 1Уровень 2 Уровень 3
Общие хранилищаданных
Управление основной инфраструктурой vRealize SuiteУправление SDDC включает множество операций (иногда часто повторяемых). В vRealize Suiteможно, используя vRealize Orchestrator, управлять сложными задачами с помощью рабочихпроцессов.
На уровне управления облаком можно создавать рабочие макропроцессы для автоматизациивыполняемых вручную процессов. Оркестрация позволяет выполнять повторяемые операции.
На уровне управления облаком рабочие процессы могут запускаться как автоматически, так ивручную.
n В vRealize Automation реализована возможность запуска рабочих процессов vRealize Orchestrator.
n Можно также опубликовать рабочие процессы в каталоге служб и запустить их вручную.
Использование подсистемы оркестрации на ранних этапах связано с преимуществами дляпользователей на всех уровнях. Кроме того, это является основой для остальных компонентоврешения. Следует развернуть минимум один экземпляр vCenter Server для каждой системыvCenter Server в среде (в зависимости от требований к масштабированию).
Обзор службы vRealize Suite
22 VMware Inc.
Слой оркестрации включает следующие основные элементы.
n vRealize Orchestrator
n Подключаемые модули vRealize Orchestrator
Рисунок 2‑7. Проект слоя оркестрации vRealize Suite
Подключаемые модули vRO
vRealize Orchestrator Appliance
Встроенная база данных
AD, LDAP или vCenter: Single Sign-On
Подключаемые модули
vCenter Server
Несколько узлов
AD
Проверка подлинности
Настройка vRealize Orchestrator
Проектирование vRealize Orchestrator
включены
Таблица 2‑1. Компоненты слоя оркестрации vRealize Suite
Компонент Описание
Устройство vRealize Orchestrator vRealize Orchestrator можно развернуть каквиртуальное устройство. Запуск устройстваvRealize Orchestrator в изолированном режиме, а не врежиме высокой доступности, являетсярекомендуемым для небольших развертываний.
Проверка подлинности Реализуется с помощью Active Directory илиvCenter Single Sign-On.
Интерфейс конфигурации vRealize Orchestrator Веб-интерфейс конфигурации можно использовать длянастройки базы данных устройства, сертификата TLS,лицензии и т. д.
Интерфейс конструктора vRealize Orchestrator Веб-интерфейс конструктора можно использовать длясоздания и настройки рабочих процессов.
Глава 2 Обзор архитектуры vRealize Suite
VMware Inc. 23
Таблица 2‑1. Компоненты слоя оркестрации vRealize Suite (продолжение)
Компонент Описание
Подключаемый модуль vCenter Server Подключаемый модуль vRealize Orchestrator можноиспользовать для управления несколькимиэкземплярами vCenter Server. Подключаемый модульпредоставляет библиотеку стандартных рабочихпроцессов для автоматизации операций vCenter Server.
Подключаемый модуль для нескольких узлов Можно использовать подключаемый модульvRealize Orchestratorдля нескольких узлов, чтобывыполнять рабочие процессы и удаленно управлятьvRealize Orchestrator.
Мониторинг инфраструктуры ядра vRealize SuiteВозможность мониторинга является обязательным элементом SDDC. Элемент мониторингапредоставляет возможности для управления производительностью и емкостью соответствующихкомпонентов инфраструктуры, в том числе для обеспечения соответствия требованиям,спецификациям, управлению и их взаимосвязи.
Мониторинг продуктов vRealize Suite, в том числе некоторых продуктов VMware.
Таблица 2‑2. Мониторинг продуктов в vRealize Suite
Мониторинг продукта Описание
vRealize Operations Manager Предоставление информации о производительности,емкости и работоспособности инфраструктуры. Сраспределением в качестве виртуального устройстваможно разворачивать на узлах ESXi. Настройкавиртуального устройства и его регистрация в системеvCenter Server. См. раздел Информационный центрvRealize Operations Manager
vRealize Suite Lifecycle Manager Предоставляет мониторинг работоспособности дляпродуктов vRealize Suite в средеVMware vRealize Suite Lifecycle Manager. Мониторингработоспособности доступен только в средах сvRealize Operations Manager. См. Настройкамониторинга работоспособности для комплексныхвозможностей управления vRealize Suite.
vRealize Infrastructure Navigator Обнаружение служб приложений, визуализациявзаимосвязей и отображение зависимостейприложений на виртуализированных вычислительныхи сетевых ресурсах, а также ресурсах хранения. См.раздел Центр документации vRealize InfrastructureNavigator
vRealize Log Insight Сбор и анализ данных журнала для предоставленияответов по проблемам, связанным с системами,службами и приложениями, а также для полученияважных подробных сведений. См. раздел Центрдокументации VMware vRealize Log Insight
Можно разворачивать все продукты мониторинга или только некоторые из продуктов, не повреждаяцелостности решения.
Обзор службы vRealize Suite
24 VMware Inc.
Предоставление службы инфраструктурыВозможность предоставления инфраструктуры как услуги (IaaS) представляет собой технологическоеи организационное преобразование из традиционного центра обработки данных в облачнуюсистему. Можно моделировать и подготавливать виртуальные машины и службы в частных,общедоступных и гибридных облачных инфраструктурах.
В SDDC группы или организации поставщиков могут изолировать и извлекать ресурсы в виде службинфраструктуры и приложения, а также делать их доступными для групп или организацийарендаторов.
Уровень управления облачными системами предоставляет пользовательский порталсамообслуживания, что снижает расходы на администрирование за счет использования политик дляподготовки служб инфраструктуры. Администраторы используют политики для управлениязатратами на службы тщательно и гибко. Требования к подтверждению могут быть частью каждойслужбы.
Можно построить службу инфраструктуры, используя несколько компонентов.
Таблица 2‑3. Компоненты службы инфраструктуры
Раздел службы инфраструктуры Компоненты для проектирования
Виртуальное устройство vRealize Automation n Сервер приложения или веб-сервер порталаvRealize Automation
n База данных vRealize Automation vPostgreSQL
Инфраструктура как услуга для vRealize Automation n Веб-сервер инфраструктуры как услуги дляvRealize Automation
n Службы диспетчеров инфраструктуры как услугидля vRealize Automation
Distributed Execution Manager Диспетчеры Distributed Execution Manager дляvRealize Automation состоят из экземпляров DEMOrchestrator и DEM Worker.
Интеграция Компьютеры vRealize Automation Agent
Управление затратами vRealize Business Cloud
Подготовка инфраструктуры n Среда vSpheren Среда vRealize Orchestratorn Другие поддерживаемые физические, виртуальные
и облачные среды
Поддержка инфраструктуры n Среда базы данных Microsoft SQLn Среда LDAP или Active Directoryn Среда SMTP и электронной почты
Развертывание службы инфраструктуры происходит в несколько этапов.
Рисунок 2‑8. Этапы развертывания инфраструктуры как услуги
Портал самообслуживания
Компонентыинфраструктуры
Службы и арендаторы
Управление затратами
Готовность службыинфраструктуры
Глава 2 Обзор архитектуры vRealize Suite
VMware Inc. 25
Для детального изучения ключевых понятий инфраструктуры как услуги см. информацию оvRealize Automation на странице Инфраструктура как услуга.
Порталсамообслуживания
vRealize Automation является безопасным порталом, на которомавторизованные администраторы, разработчики и бизнес-пользователимогут запрашивать новые ИТ-службы.
Компонентыинфраструктуры
Чтобы развернуть vRealize Automation, необходимо настроитьнекоторые продукты VMware, такие как vSphere и vCloud Air, а такженастроить компоненты vRealize Automation, такие как конечные точкифизических машин, группы структур и схемы элементов.
Службы и арендаторы Каталог служб — это объединенный портал самообслуживания дляпотребителей ИТ-служб. При работе с каталогом пользователи могутзапрашивать элементы, отслеживать свои запросы и управлять своимиподготовленными элементами.
Управление затратами Решения, интегрируемые с vRealize Automation, напримерvRealize Business Cloud, поддерживают возможности просмотра затрати управления ими.
Предоставление платформы как услугиИспользуйте платформу как услугу (PaaS) для моделирования и подготовки приложений в частных,общедоступных и гибридных облачных инфраструктурах.
PaaS является типом службы облачных вычислений, которая предоставляет вычислительнуюплатформу и набор решений как услуги. Наряду с программным обеспечением как услугой (SaaS) иинфраструктурой как услугой (IaaS), платформа как услуга PaaS представляет собой модель облачныхвычислений, которая позволяет использовать инструменты и библиотеки, предоставляемыепоставщиком для создания приложения или службы. Пользователь управляет развертываниемпрограммного обеспечения и параметрами конфигурации. Поставщик предоставляет сети, серверы,хранилища и другие службы, необходимые для размещения приложения.
Автоматизированная подготовка приложенийКлючевым аспектом PaaS является возможность автоматизировать подготовку приложений.vRealize Automation — основанное на использовании моделей решение для подготовки приложений,которое упрощает создание и стандартизацию топологий развертывания приложений в облачныхинфраструктурах. Архитекторы приложений используют функции перетаскивания приложений длясоздания топологии развертывания приложений с названием схемы элементов приложений. Схемыэлементов приложений определяют структуру приложения, позволяют использоватьстандартизированные компоненты инфраструктуры приложений и включают в себя зависимостиустановки и конфигурации по умолчанию для настраиваемых и упакованных корпоративныхприложений. Можно использовать предварительно заполненный и расширяемый каталогстандартных логических шаблонов, службу инфраструктуры для приложений, а также компоненты исценарии для моделирования схемы элементов приложения. Схемы элементов приложенийпредставляют собой логические топологии развертывания, которые можно перемещать междуразличными облачными инфраструктурами, созданными с использованием решений (например,vRealize Automation), и между общедоступными облаками (например, Amazon EC2).
Используя vRealize Automation, можно указать структуру приложения и службы с допущением, чтобазовая облачная инфраструктура обеспечивает необходимые требования для вычисления, сети ихранилища. Можно развернуть схемы элементов vRealize Automation в любом частном илиобщедоступном облаке на основе VMware vSphere. Эта модель резервирования приложенийосвобождает разработчиков и администраторов приложений от работы с инфраструктурой, ОС иконфигурацией программного обеспечения промежуточного слоя, а также позволяет компанииориентироваться на достижение коммерческой выгоды с помощью своих приложений.
Обзор службы vRealize Suite
26 VMware Inc.
Корпоративные пользователи могут стандартизировать, развертывать, настраивать, обновлять имасштабировать сложные приложения в динамических облачных средах. Это могут быть самыеразные приложения — от простых веб-приложений до сложных специальных приложений ипакетных приложений. С помощью своего каталога стандартных компонентов или службvRealize Automation Application Services осуществляет автоматизацию и управление жизненнымциклом обновления развертываний для многоуровневых корпоративных приложений в гибридныхоблачных средах.
Мониторинг производительности приложенияМониторинг дает возможности для управления производительностью в отношении приложений.
Предварительно подготовленные компоненты приложенияVMware Cloud Management Marketplace предоставляет схемы элементов, службы, сценарии иподключаемые модули, которые можно загрузить и использовать для разработки собственных службприложения. Ведущие поставщики программного обеспечения промежуточного слоя, подключенийсетей, безопасности и приложений предоставляют предварительно подготовленные компоненты, вкоторых применяются повторно используемые и гибкие настройки, которые можно вставить влюбой многоуровневый программно-подготовленный план.
Вопросы безопасности, связанные с решением vRealize SuiteКаждый продукт vRealize Suite должен соответствовать требованиям безопасности. Следуетобеспечить для каждого продукта возможность проверки подлинности и авторизации, проверитьсоответствие сертификатов корпоративным требованиям, а также осуществить сетевую изоляцию.
Документация по семействам продуктов или отдельным продуктам поможем вам защитить своюсреду. В этом документе описываются дополнительные шаги по обеспечению безопасности пакетапродуктов.
Таблица 2‑4. Документация по безопасности продуктов vRealize Suite
Продукт Документация
vCenter ServerESXi Дополнительные сведения, включая информацию обуправлении сертификатами, защите ESXi иvCenter Server, а также о проверке подлинности иавторизации см. в документации по Безопасная работаvSphere .Сведения о безопасности ESXi см. в документации по Безопасность гипервизора VMware.
vSphere Сведения по продуктам vSphere см. здесь: Руководствапо усиленной защите vSphere.
vRealize Automation и связанные продукты. Дополнительные сведения о сертификатах, парольныхфразах, безопасности пользователя, использованиигрупп безопасности и т. д. см. в разделе Подготовка кустановке документации по vRealize Automation.Дополнительные сведения об оптимизации настройкибезопасности среды vRealize Automation см. в разделеvRealize Automation Руководство по безопаснойконфигурации.
vRealize Suite Lifecycle Manager Дополнительные сведения об оптимизации настройкибезопасности среды vRealize Suite Lifecycle Manager см.в разделе Руководство по усиленной защите vRealizeSuite Lifecycle Manager.
Глава 2 Обзор архитектуры vRealize Suite
VMware Inc. 27
Проверка подлинности и авторизация в vCloud SuiteПроверка подлинности с помощью vCenter Single Sign-On позволяет проверить, что войти вvCloud Suite могут только пользователи с поддерживаемыми источниками удостоверений.Авторизация позволяет проверить, что только пользователь с соответствующими привилегиямиможет просматривать информацию или выполнять задачи. Авторизация применима и к службам, ик пользователям.
Проверка подлинности с помощью vCenter Single Sign-OnvCenter Single Sign-On поддерживает проверку подлинности в инфраструктуре управления.Просмотр и управление этими компонентами инфраструктуры доступны только для пользователей,которые могут пройти проверку подлинности vCenter Single Sign-On. Можно добавить ресурсыудостоверений, например Active Directory или OpenLDAP для vCenter Single Sign-On.
Обзор службы vCenter Single Sign-On
vCenter Single Sign-On представляет собой брокера проверки подлинности и маркер безопасностидля инфраструктуры пользователей и пользователей решений, входящих в набор VMware. Когдаобычный пользователь или пользователь решения выполняет проверку vCenter Single Sign-On. Вбудущем пользователь сам сможет использовать SAML для проверки в службах vCenter Server. Затемпользователь сможет просматривать информацию и выполнять действия, для которых у негодостаточно привилегий.
Используя vCenter Single Sign-On, продукты vCloud Suite взаимодействуют друг с другом черезбезопасный механизм обмена маркерами, не требуя выполнения проверки подлинностипользователя отдельно для каждого продукта с использованием службы каталогов, напримерMicrosoft Active Directory. Во время установки или обновления vCenter Single Sign-On структурируетвнутренний домен безопасности, например, vsphere.local, где зарегистрированы решения и продуктыVsphere. Вместо использования этого внутреннего домена безопасности для информации попроверке подлинности для конкретной компании можно добавить один или несколько источниковудостоверений, таких как Active Directory Domain vCenter Single Sign-On.
Настройка vCenter Single Sign-On
Можно настроить от vCenter Single Sign-On до vSphere Web Client.
Начиная с версии vSphere 6.0 продукт vCenter Single Sign-On становится частьюPlatform Services Controller. Продукт Platform Services Controller содержит общие службы,поддерживающие компоненты vCenter Server и vCenter Server. Для управленияvCenter Single Sign-On, необходимо подключиться к объекту Platform Services Controller, связанному свашей средой. Дополнительные сведения о настройке и фоновом режиме см. в разделе Проверкаподлинности vSphere с помощью vCenter Single Sign-On .
Авторизация в vCloud SuiteАвторизация определяет, какой пользователь или процесс может получить доступ или изменитьконкретные компоненты в развертывании vCloud Suite. Для разных продуктов в vCloud Suiteавторизация обрабатывается с разными уровнями детализации.
Разные типы администраторов отвечают за предоставление доступа различным типам пользователейк разнообразным продуктам или компонентам продукта.
Авторизация vCenter Server
Модель предоставления разрешений vCenter Server позволяет администраторам назначать ролипользователям или группам для конкретного объекта в иерархии объектов vCenter Server. Роли —это наборы привилегий. В vCenter Server включены предварительно определенные роли, но можнотакже создать пользовательские роли.
Обзор службы vRealize Suite
28 VMware Inc.
Во многих случаях разрешения должны быть определены как на объекте источника, так и на объектеназначения. Например, для перемещения виртуальной машины необходимы некоторые привилегиикак на этой виртуальной машине, так и в центре обработки данных назначения.
Кроме того, глобальные разрешения позволяют предоставлять конкретные привилегиипользователям для всех объектов в иерархии объектов vCenter. Следует осторожно использоватьглобальные разрешения, особенно при распространении их вниз по иерархии объектов.
Дополнительные сведения и видео с инструкциями по разрешениям vCenter Server см. в разделе«Безопасность vSphere».
Проверка подлинности vRealize Automation
vRealize Automation позволяет использовать предварительно определенные роли для выяснения,какой пользователь или группа могут использовать конкретные задачи. В отличие от vCenter Server,здесь можно использовать определенные пользователем роли, но также доступен широкий наборпредварительно определенных ролей.
Проверка подлинности и авторизация проходят следующим образом.
1. Администратор системы выполняет начальную настройку единого входа и базовую настройкуарендатора, в том числе назначает по крайней мере одно хранилище удостоверений иадминистратора для каждого арендатора.
2. После этого администратор арендатора может настроить дополнительные хранилищаудостоверений и назначить роли пользователям или группам из хранилищ удостоверений.
Администраторы арендатора могут также создавать настраиваемые группы в рамкахсобственных арендаторов и добавлять в настраиваемые группы пользователей и группы, которыезаданы в хранилище удостоверений. Пользовательским группам, таким как пользователи игруппы сохранения удостоверений, могут быть назначены роли
3. Затем администраторы могут назначить роли пользователям и группам в зависимости от своейсобственной роли.
n Предварительно определен набор общесистемных ролей, таких как системныйадминистратор, администратор IaaS и администратор структуры.
n Помимо этого, предварительно определен отдельный набор ролей арендаторов, таких какадминистратор арендатора или администратор каталога приложений.
См. документацию по vRealize Automation.
Управление федеративными удостоверениямиУправление федеративными удостоверениями позволяет подтверждать и использовать электронныеудостоверения и другие атрибуты одного домена для доступа к ресурсам в других доменах. Можновключить управление федеративными удостоверениями между vRealize Automation,vRealize Operations Manager и vSphere Web Client, используя vCenter Single Sign-On иVMware Identity Manager.
В среде федеративных удостоверений пользователи делятся по категориям на основе способа ихвзаимодействия с системами федеративных удостоверений. Эти системы используются дляполучения служб. Администраторы настраивают федерацию и управляют ей между системами.Разработчики создают и расширяют службы, используемые пользователями. В следующей таблицеописаны преимущества управления федеративными удостоверениями, которые понравилисьпользователям.
Глава 2 Обзор архитектуры vRealize Suite
VMware Inc. 29
Таблица 2‑5. Преимущества для пользователей
Типы пользователей Преимущество федеративного удостоверения
Пользователи n Удобный единый вход в различные приложенияn Управление меньшим количеством паролейn Улучшенная система безопасности
Администраторы n Улучшенный контроль над предоставлением правна работу с приложениями и доступа кприложениям
n Проверка подлинности на основе контекста иполитик
Разработчики n Простая интеграцияn Преимущества поддержки нескольких арендаторов,
управление пользователями и группами,расширяемая проверка подлинности иупрощенная делегированная авторизация
Можно настроить федерацию между VMware Identity Manager и vCenter Single Sign-On с помощьюсоздания подключения SAML между двумя сторонами. vCenter Single Sign-On выступает в качествепоставщика удостоверений, а VMware Identity Manager — в качестве поставщика служб. Поставщикудостоверений предоставляет электронное удостоверение. Поставщик служб предоставляет доступ кресурсам после оценки и принятия электронного удостоверения.
У пользователей, прошедших проверку подлинности vCenter Single Sign-On, та же самая учетнаязапись должна быть в VMware Identity Manager и vCenter Single Sign-On. По крайней мере, атрибутuserPrinicpalName для пользователя должен совпадать с обеих сторон. Другие атрибуты могутразличаться, так как они не используются для идентификации субъекта SAML.
Для локальных пользователей в vCenter Single Sign-On, например [email protected], вVMware Identity Manager также должны быть созданы соответствующие учетные записи (гдесовпадает, по крайней мере, атрибут userPrinicpalName пользователя). Соответствующие учетныезаписи необходимо создать вручную или посредством сценария с помощью интерфейсов API длясоздания локальных пользователей VMware Identity Manager.
Настройка SAML между SSO2 и vIDM предусматривает следующие задачи.
1. Нужно импортировать маркер SAML из vCenter Single Sign-On в VMware Identity Manager передобновлением проверки подлинности VMware Identity Manager по умолчанию.
2. В VMware Identity Manager нужно установить vCenter Single Sign-On в качестве стороннегопоставщика удостоверений в VMware Identity Manager и обновить проверку подлинностиVMware Identity Manager по умолчанию.
3. В vCenter Single Sign-On нужно настроить VMware Identity Manager в качестве поставщика службс помощью импорта файла VMware Identity Manager с путем sp.xml.
См. следующую документацию по продуктам.
n Сведения о настройке SSO2 в качестве поставщика удостоверений для vRealize Automation см. вразделе Использование VMware vCenter SSO 5.5 U2 с VMware vCloud Automation Center 6.1.
n Документацию по vRealize Automation VMware Identity Manager см. в разделе Обновлениепароля Single Sign-On для VMware Identity Manager.
n Сведения о способе настройки федерации между управлением каталогами и SSO2 см. в разделе Настройка федерации SAML между функцией управления каталогами и SSO2.
n Документацию по vRealize Operations Manager SSO см. в разделе Настройка источника SingleSign-On в vRealize Operations Manager.
Обзор службы vRealize Suite
30 VMware Inc.
Защита данных и TLSРазличные продукты vRealize Suite используют TLS для шифрования сеансов между продуктами. Поумолчанию продукт VMware Certificate Authority (VMCA), входящий в составPlatform Services Controller, предоставляет сертификаты для некоторых продуктов и служб. Другиекомпоненты подготавливаются с помощью самозаверяющих сертификатов.
Если необходимо заменить сертификаты по умолчанию на собственные корпоративные сертификатыили сертификаты, подписанные центром сертификации, то процесс будет разным для разныхкомпонентов.
Проверка сертификатов включена по умолчанию, и сертификаты TLS используются дляшифрования сетевого трафика. Начиная с vSphere 6.0 центр сертификации VMCA назначаетсертификаты узлам ESXi и системам vCenter Server в процессе установки. Можно заменить этисертификаты для использования VMCA в качестве промежуточного центра сертификации илииспользовать пользовательские сертификаты в своей среде. В vSphere 5.5 и более ранних версияхиспользуются самозаверяющие сертификаты, которые можно удалить или заменить принеобходимости.
Можно заменить сертификаты в vSphere 6.0 с помощью диспетчера сертификатов vSphere илиинтерфейсов командной строки для управления сертификатами. Можно удалить сертификаты вvSphere 5.5 и более ранних версиях с помощью инструмента автоматизации процесса работы ссертификатами.
Продукты, в которых используется центр сертификации VMCAНекоторые продукты VMware получают сертификаты от VMCA во время установки. Для такихпродуктов предусмотрено несколько вариантов.
n Не трогайте сертификаты для внутренних развертываний или рассмотрите вопрос о заменесертификатов с внешним доступом, не трогая сертификаты с внутренним доступом,подписанные центром сертификации VMCA.
n Сделайте VMCA промежуточным сертификатом. В дальнейшем используйте всю цепочку дляподписания.
n Замените сертификаты, подписанные VMCA, на пользовательские сертификаты.
См. Безопасность сертификатов vSphere.
Продукты, в которых используются самозаверяющие сертификатыМожно использовать продукты, в которых используются самозаверяющие сертификаты безизменений. В браузерах пользователей просят принять или отклонить самозаверяющий сертификатпри первом использовании. Пользователи могут щелкнуть ссылку, чтобы открыть и просмотретьсведения о сертификате, прежде чем принять или отвергнуть его. Принятые сертификаты хранятся вбраузерах локально и принимаются без уведомления для последующего использования. Можноисключить шаг принятия, заменив при необходимости самозаверяющие сертификаты накорпоративные или подписанные центром сертификации. В документации по продуктам написано,как заменить самозаверяющие сертификаты.
Таблица 2‑6. Замена самозаверяющих сертификатов
Продукт Документация
vSphere Replication См. Изменение сертификата SSL Certificate дляустройства vSphere Replication.
vRealize Automation См. Обновление сертификатов vRealize Automation.
vRealize Log Insight См. Установка пользовательского сертификата SSL.
Глава 2 Обзор архитектуры vRealize Suite
VMware Inc. 31
Таблица 2‑6. Замена самозаверяющих сертификатов (продолжение)
Продукт Документация
vRealize Orchestrator См. Изменение сертификатов SSL.
vRealize Operations Manager См. Добавление пользовательского сертификата вvRealize Operations Manager.
vRealize Business for Cloud Standard См. Изменение или замена сертификата SSL дляvRealize Business for Cloud.
Безопасность физического уровняБезопасность физического уровня включает в себя безопасность или усиленную защиту гипервизора,установку максимального уровня безопасности для физической сети, а также защиту решения дляхранения данных.
Безопасность стандартных портов коммутаторовКак и физические сетевые адаптеры, виртуальный сетевой адаптер может отправлять кадры, которыевыглядят как кадры с другого компьютера или олицетворяют другой компьютер. Кроме того,подобно физическим сетевым адаптерам, виртуальный сетевой адаптер можно настроить так, чтобыон получал кадры, предназначенные для других компьютеров.
При создании стандартного коммутатора к нему добавляются группы портов, применяющиеконфигурацию политики для виртуальных машин и систем хранения, подключенных к коммутатору.Виртуальные порты создаются посредством vSphere Web Client или vSphere Client.
При добавлении порта или группы стандартных портов к стандартному коммутатору решениеvSphere Client настраивает профиль безопасности для порта. После этого узел сможетпредотвращать попытки расположенных на нем виртуальных машин олицетворять другиекомпьютеры в сети. Гостевая операционная система, ответственная за олицетворение, не сможетраспознать, что олицетворение было предотвращено.
Профиль безопасности определяет степень защиты узла от атак путем олицетворения и перехвата,направленных на виртуальные машины. Чтобы правильно использовать параметры в профилебезопасности, необходимо иметь базовое представление о том, как виртуальные сетевые адаптерыконтролируют передачу данных и как осуществляются атаки на этом уровне.
У каждого виртуального сетевого адаптера есть MAC-адрес, который назначается адаптеру присоздании. Такой адрес называется исходным MAC-адресом. Хотя настройки исходного MAC-адресаможно изменить из-за пределов гостевой операционной системы, сама гостевая операционнаясистема не может его изменить. Кроме того, у каждого адаптера есть действующий MAC-адрес,который отфильтровывает входящий сетевой трафик с целевым MAC-адресом, отличающимся отдействующего MAC-адреса. Гостевая операционная система настраивает действующий MAC-адрес и,как правило, сопоставляет действующий MAC-адрес с исходным.
При отправке пакетов операционная система обычно указывает действующий MAC-адрес своегособственного сетевого адаптера в поле исходного MAC-адреса кадра Ethernet. Она также указываетMAC-адрес принимающего сетевого адаптера в поле целевого MAC-адреса. Принимающий адаптерполучает пакеты, только если целевой MAC-адрес в пакете совпадает с его собственнымдействующим MAC-адресом.
Обзор службы vRealize Suite
32 VMware Inc.
При создании сетевого адаптера его действующий и исходный MAC-адреса совпадают.Операционная система виртуальной машины может в любой момент изменить значениедействующего MAC-адреса. Если операционная система изменит действующий MAC-адрес, еесетевой адаптер будет принимать сетевой трафик, предназначенный для нового MAC-адреса.Операционная система может отправлять кадры с олицетворяемым исходным MAC-адресом влюбой момент. Это означает, что операционная система может осуществлять вредоносные атаки наустройства в сети, олицетворяя сетевой адаптер, авторизованный принимающей сетью.
Для защиты от атак такого типа на узлах могут использоваться профили безопасности стандартныхкоммутаторов. Для этого необходимо настроить три параметра. Изменяя какие-либо параметры поумолчанию для порта, необходимо также изменить профиль безопасности, отредактировавпараметры стандартного коммутатора в vSphere Client.
Обеспечение безопасности хранилища iSCSIХранилище, настроенное для узла, может иметь одну или несколько сетей хранения данных (SAN),использующих iSCSI. Если на узле настроен стандарт iSCSI, администраторы могут минимизироватьугрозы безопасности, выполнив несколько действий.
iSCSI — это средство для доступа к устройствам SCSI и обмена записями данных с помощьюпротокола TCP/IP по сети, а не через прямое подключение к устройству SCSI. В транзакциях iSCSIблоки необработанных данных SCSI инкапсулируются в записи iSCSI и передаются назапрашивающее устройство или запрашивающему пользователю.
Одним из средств защиты устройств iSCSI от несанкционированного вторжения является требованиепроверки подлинности узла (инициатора) устройством iSCSI (целевым объектом) каждый раз, когдаузел пытается получить доступ к данным на целевом логическом номере устройства. Проверкаподлинности подтверждает право инициатора на доступ к целевому объекту.
ESXi и iSCSI поддерживают протокол проверки пароля (CHAP), который проверяет законностьинициаторов, пытающихся получить доступ к целевым объектам в сети. Чтобы определить, нужноли выполнять проверку подлинности, и настроить способ проверки подлинности, используйтеvSphere Client или vSphere Web Client. Дополнительные сведения о настройке CHAP для iSCSI см. вдокументации по vSphere (Настройка параметров CHAP для адаптеров iSCSI).
Защита интерфейсов управления ESXiЗащита интерфейса управления ESXi необходима для предотвращения несанкционированногодоступа к продукту и его несанкционированного использования. Если узел был каким-либо образомповрежден, это может отразиться на взаимодействующих с ним виртуальных машинах. Чтобыминимизировать риск атаки через интерфейс управления, предусмотрена защита ESXi с помощьювстроенного брандмауэра.
Чтобы защитить узел от несанкционированного доступа и использования, для VMwareпредусмотрены ограничения в отношении некоторых параметров, настроек и действий. Этиограничения могут сниматься в соответствии с требованиями конфигурации, но в таком случаеследует принять меры по защите всей сети и подключенных к узлу устройств.
Ниже приведены некоторые рекомендации по оценке безопасности узла и его администрирования.
n Для усиления защиты следует ограничить доступ пользователей к интерфейсу управления иприменить политики безопасности при доступе (например, настроить ограничения на пароли).
n Доступ ко входу в ESXi Shell следует предоставлять только доверенным пользователям. ДляESXi Shell предусмотрен привилегированный доступ к некоторым частям узла.
n По возможности следует запускать только важные процессы, службы и агенты, включая средствапроверки наличия вирусов и резервного копирования виртуальных машин.
Глава 2 Обзор архитектуры vRealize Suite
VMware Inc. 33
n По возможности следует использовать vSphere Web Client или сторонние средства для сетевогоуправления и администрирования узлов ESXi вместо использования интерфейса команднойстроки в качестве привилегированного пользователя. При использовании vSphere Web Clientвсегда следует подключаться к узлу ESXi с помощью системы vCenter Server.
На узлах выполняются некоторые сторонние пакеты для поддержки интерфейсов управления изадач, которые должен выполнять оператор. В VMware не предусмотрено обновление таких пакетовиз сторонних источников. Загрузка обновлений или исправлений из стороннего источника можетбыть небезопасной для интерфейса управления, и при этом некоторые функции могут перестатьработать. Следует регулярно проверять сайты сторонних поставщиков и базу знаний VMware напредмет оповещений системы безопасности.
Кроме использования брандмауэра минимизировать повреждение узла ESXi можно с помощьюдругих методов.
n Следует убедиться, что все порты брандмауэра, которые специально не требуются дляуправления доступом к узлу, закрыты. Порты следует специально открывать, если требуютсядополнительные службы.
n Следует заменить сертификат по умолчанию и не включать ненадежное шифрование. Поумолчанию ненадежное шифрование отключено и весь обмен данными с клиентами защищен спомощью TLS. Конкретный алгоритм, используемый для защиты канала, зависит отподтверждения TLS. Для сертификатов по умолчанию, созданных в ESXi, в качестве алгоритмаподписи используется SHA-1 с шифрованием RSA.
n Следует установить исправления системы безопасности. В VMware реализован мониторингоповещений системы безопасности при потенциальной угрозе для ESXi. При необходимостивыпускается соответствующее исправление.
n Не следует устанавливать незащищенные службы, включая FTP и Telnet, а порты для этих службнужно закрыть. Так как большинство служб обеспечения безопасности, включая SSH и SFTP,легко доступны, следует всегда отдавать предпочтение их более безопасным альтернативам. Еслипредполагается использование незащищенных служб, следует обеспечить надлежащую защитудля узлов ESXi и открыть соответствующие порты.
Узлы ESXi можно перевести в режим блокировки. При включении режима блокировки управлениеузлом возможно только с помощью решения vCenter Server. Разрешения на проверку подлинностиследует предоставлять только пользователям vpxuser; возможность прямого подключения к узлуследует отключить.
Зашита систем vCenter ServerЗащита vCenter Server подразумевает обеспечение безопасности компьютера, на котором работаетvCenter Server, соблюдение рекомендаций по назначению привилегий и ролей и проверкуцелостности клиентов, которые подключаются к vCenter Server.
Строго контролируйте привилегии администратора vCenter Server, чтобы повысить безопасностьсистемы.
n Удалите полные административные права для vCenter Server из локальной учетной записиадминистратора Windows и предоставьте их специальной локальной учетной записиадминистратора vCenter Server. Предоставляйте полные административные права vSphereтолько администраторам, которым они необходимы. Не предоставляйте эти привилегии группе,участие в которой не контролируется строго.
n Не разрешайте пользователям входить в систему vCenter Server напрямую. Разрешайте доступтолько пользователям, которые имеют легитимные задания для выполнения и могутподтвердить, что их действия проверяются.
Обзор службы vRealize Suite
34 VMware Inc.
n Для установки vCenter Server используйте учетную запись службы вместо учетной записиWindows. Для запуска vCenter Server можно использовать учетную запись службы или учетнуюзапись Windows. Использование учетной записи службы позволяет применять проверкуподлинности Windows в сервере SQL Server для обеспечения дополнительной безопасности.Учетная запись службы должна иметь права администратора на локальном компьютере.
n Во время перезапуска vCenter Server проверьте, не были ли переназначены привилегии. Еслипользователя или группу пользователей, которому или которой назначена роль администраторав корневой папке сервера, нельзя проверить как действительного пользователя илидействительную группу, привилегии администратора удаляются и назначаются группелокальных администраторов Windows.
Предоставляйте минимальные привилегии пользователю базы данных vCenter Server. Пользователюбазы данных нужны только конкретные привилегии, необходимые для доступа к базе данных. Крометого, ему нужны некоторые привилегии для установки и обновления. После установки илиобновления продукта эти привилегии можно удалить.
Обеспечение безопасности виртуального уровняКроме физического уровня, который включает оборудование, коммутаторы и т. д., необходимо такжеобеспечить безопасность виртуального уровня. Защитите виртуальные машины, включаяоперационную систему и уровень виртуальных сетей.
Безопасность и виртуальные машиныВиртуальные машины — это логические контейнеры, в которых работают приложения и гостевыеоперационные системы. Устройство виртуальных машин VMware таково, что все они изолированыдруг от друга. Эта изоляция позволяет множеству виртуальных машин безопасно работать насовместно используемом оборудовании и обеспечивает их доступ к оборудованию и непрерывнуюработу.
Даже пользователь с правами системного администратора в гостевой операционной системевиртуальной машины не сможет преодолеть этот уровень изоляции, чтобы получить доступ к другойвиртуальной машине, не имея прав, явно предоставленных системным администратором ESXi. Если вгостевой операционной системе, работающей на виртуальной машине, произойдет сбой, благодаряизоляции виртуальной машины другие виртуальные машины на том же узле продолжат работу.Пользователи смогут и дальше получать доступ к другим виртуальным машинам, и работа этихвиртуальных машин не будет нарушена.
Каждая виртуальная машина изолирована от других виртуальных машин, работающих на том жеоборудовании. Хотя виртуальные машины совместно используют физические ресурсы, напримерЦП, память и устройства ввода-вывода, гостевая операционная система на отдельной виртуальноймашине может обнаруживать только виртуальные устройства, к которым вы предоставите ей доступ.
Глава 2 Обзор архитектуры vRealize Suite
VMware Inc. 35
Рисунок 2‑9. Изоляция виртуальной машины
ЦП
КонтролерSCSI
Память
Мышь
Диск
CD/DVD
Сетевые и видео карты
Клавиатура
Операционная система
Ресурсы виртуальной машины
Виртуальная машина
Ядро VMkernel является посредником для всех физических ресурсов. Доступ ко всему физическомуоборудованию осуществляется через ядро VMkernel, и виртуальные машины не могут обойти этотуровень изоляции.
Точно так же как физический компьютер обменивается данными с другими компьютерами в сетичерез сетевую карту, виртуальная машина обменивается данными с другими виртуальнымимашинами, работающими на том же узле, через виртуальный коммутатор. Кроме того, виртуальнаямашина обменивается данными с физической сетью, включая виртуальные машины на других узлахESXi, через физический сетевой адаптер.
Рисунок 2‑10. Подключения в виртуальной сети через виртуальные коммутаторы
Virtual Switch связывает вместе
виртуальные машины
Виртуальная машина
виртуальныйсетевойадаптер
Виртуальная машина
ESXi
VMkernel
Уровеньвиртуальной
сети
Сетевой адаптер для оборудования
виртуальные машины с физической сетью
связывает
Физическая сеть
виртуальныйсетевойадаптер
На подключения в виртуальной сети также влияет изоляция виртуальных машин.
n Если виртуальная машина не использует виртуальный коммутатор совместно с другимивиртуальными машинами, она полностью изолирована от виртуальных машин, расположенныхна узле.
Обзор службы vRealize Suite
36 VMware Inc.
n Если для виртуальной машины не настроен физический сетевой адаптер, она полностьюизолирована. Это подразумевает также изоляцию от физических и виртуальных сетей.
n Виртуальные машины безопасны, как и физические компьютеры, если они защищены от сети спомощью брандмауэров, антивирусного программного обеспечения и т. п.
Виртуальные машины можно дополнительно защитить, настроив резервирование и ограничения дляресурсов на узле. Например, с помощью выделения ресурсов можно настроить виртуальную машинутаким образом, чтобы она всегда получала не менее 10 % ресурсов ЦП на узле, но не более 20 %.
Резервирование и ограничения ресурсов защищают виртуальные машины от сниженияпроизводительности, которое может возникнуть, если другая виртуальная машина потребляетслишком много общих аппаратных ресурсов. Например, если одна из виртуальных машин на узлевыйдет из строя в результате атаки типа «отказ в обслуживании» (DoS-атаки), благодаряограничению ресурсов на этой машине атака не сможет распространиться на достаточное количествоаппаратных ресурсов и поэтому не повлияет на другие виртуальные машины. Аналогичным образомрезервирование ресурсов на каждой из виртуальных машин гарантирует, что в случае повышеннойпотребности виртуальной машины в ресурсах вследствие DoS-атаки все остальные виртуальныемашины будут иметь достаточно ресурсов для работы.
По умолчанию решение ESXi в обязательном порядке применяет форму резервирования ресурсов,используя алгоритм распределения, который разделяет все доступные на узле ресурсы поровнумежду виртуальными машинами, оставляя определенный процент ресурсов для использованиядругими компонентами системы. Это поведение, используемое по умолчанию, обеспечиваетопределенную степень естественной защиты от DoS-атак и распределенных атак типа «отказ вобслуживании» (DDoS). Определенные ограничения и резервирование ресурсов устанавливаются вкаждом конкретном случае. Это позволяет настроить поведение по умолчанию, чтобы распределениев конфигурации виртуальных машин не было равномерным.
Безопасность и виртуальные сетиЕсли доступ к узлу ESXi осуществляется через vCenter Server, естественно использовать брандмауэрдля защиты vCenter Server. Этот брандмауэр обеспечивает базовую защиту сети.
Обычно брандмауэр устанавливается в том месте, которое считается точкой входа в систему.Брандмауэр должен находиться между клиентами и vCenter Server. Или в вашем развертыванииvCenter Server и клиенты должны находиться за брандмауэром.
Сети, настроенные с помощью vCenter Server, могут получать сообщения через клиент vSphere Clientили сторонние клиенты управления сетью. vCenter Server ожидает передачи данных с управляемыхузлов и клиентов на назначенных портах. vCenter Server также предполагает, что его управляемыеузлы ожидают передачи данных с vCenter Server на назначенных портах. Чтобы поддерживатьпередачу данных, на брандмауэрах между ESXi, vCenter Server и другими компонентами vSphereдолжны быть открыты порты.
Брандмауэры также должны быть включены в различные другие точки доступа в сети, в зависимостиот способа использования сети и от уровня безопасности, требуемого для различных устройств.Выбирайте места для брандмауэров с учетом угроз безопасности, которые были идентифицированыдля конфигурации сети.
Глава 2 Обзор архитектуры vRealize Suite
VMware Inc. 37
Использование VMware NSX для безопасных рабочих нагрузокVMware NSX обеспечивает программно-определяемое подключение сетей, виртуальные сетевыеслужбы безопасности логической защиты сети с помощью брандмауэров, логического переключенияи логической маршрутизации. Дизайнеры виртуальных сетей программно собирают эти службы влюбой произвольной комбинации для создания уникальных изолированных виртуальных сетей. Этатехнология обеспечивает более точный уровень безопасности, чем традиционные аппаратныеустройства. В виртуальных средах можно применять эти услуги на уровне виртуального сетевогоадаптера. Традиционные службы настроены для физической сети.
Выбранные возможности VMware NSX подробно описаны в разделе Руководство VMware NSX forvSphere (NSX) по разработке Network Virtualization. Процедуры по реализации этих возможностейможно найти в документации VMware NSX for vSphere.
NSX — это платформа безопасности виртуализации сети VMware, которую можно использовать,чтобы построить безопасную виртуальную сетевую среду для программного центра обработкиданных. ИспользуйтеNSX, чтобы построить безопасную виртуализированную сеть посредствомразвертывания и управления программными брандмауэрами, маршрутизаторами, шлюзами иполитиками. Если виртуальные машины не зависят от базовой физической платформы и позволяютИТ-отделу рассматривать физические серверы в качестве объединения вычислительной мощности, вэто время виртуальные сети не зависят от базового сетевого оборудования с указанным IP-адресом.ИТ-специалисты могут рассматривать физическую сеть в качестве пула емкости передачи, которыйможно потреблять и многократно использовать по требованию. Используя NSX, можно защититьвертикальный пограничный трафик и горизонтальный трафик в сетях и стеках вычислений, которыедолжны поддерживать целостность данных. Например, рабочие нагрузки от разных арендаторовмогут запускаться безопасно в отдельных изолированных виртуальных сетях, даже если ониразделяют одну и ту же базовую физическую сеть.
Функции NSXNSX предоставляет полный набор элементов логических сетей, граничных протоколов и служббезопасности для организации и управления виртуальными сетями. Установка подключаемогомодуля NSX в vCenter Server предоставляет централизованный элемент управления для создания иуправления службами и компонентами NSX в центре обработки данных.
Описание функций и возможностей NSX см. здесь: Руководство по администрированию NSX.
VMware NSX Edge
обеспечивает централизованную вертикальную маршрутизацию между логическими сетями,развернутыми в доменах NSX, и внешней инфраструктурой физической сети. NSX Edgeподдерживает протоколы динамической маршрутизации, такие как протокол маршрутизации сприоритетом кратчайшего пути (OSPF), а также внутренний (iBGP) и внешний (eBGP) протоколыпограничного шлюза. Кроме того, возможно использование статической маршрутизации. Ввозможности маршрутизации входит поддержка служб с переходом из активного состояния в режиможидания и маршрутизации с выбором из нескольких равнозначных путей (ECMP). NSX Edge такжепредоставляет стандартные пограничные службы, такие как преобразование сетевых адресов (NAT),балансировка нагрузки, виртуальная частная сеть (VPN) и службы брандмауэра.
Логическая коммутация
Логические коммутаторы NSX предоставляют логические сети уровня L2, обеспечивающиеизоляцию между рабочими нагрузками в различных логических сетях. Виртуальные распределенныекоммутаторы могут охватывать несколько узлов ESXi в кластере над структурой L3 с помощьютехнологии VXLAN, предоставляя преимущество централизованного управления. Можно управлятьобъемом изоляции посредством создания транспортных зон, используя vCenter Server и принеобходимости назначая логические коммутаторы транспортным зонам.
Обзор службы vRealize Suite
38 VMware Inc.
Распределенная маршрутизация
Распределенная маршрутизация предоставляется логическим элементом под названием«распределенный логический маршрутизатор» (DLR). DLR представляет собой маршрутизатор синтерфейсами, подключенными напрямую ко всем узлам, где требуется подключение виртуальноймашины. Логические коммутаторы подключены к логическим маршрутизаторам для обеспеченияподключения на уровне L3. Контрольная функция, представляющая собой плоскость управления дляконтроля переадресации, импортируется из контролирующей виртуальной машины.
Логическая защита сети с помощью брандмауэра
Платформа NSX поддерживает следующие критические функции для обеспечения безопасностимногоуровневых рабочих нагрузок.
n Собственная поддержка возможности логической защиты сети с помощью брандмауэра,который обеспечивает динамическую защиту многоуровневых рабочих нагрузок.
n Поддержка служб безопасности различных поставщиков и ввод службы, напримерантивирусного сканирования, для защиты рабочей нагрузки приложения.
Платформа NSX включает в себя централизованную службу брандмауэра, предлагаемую служебнымшлюзом NSX Edge (ESG) и распределенным брандмауэром (DFW), включенным в ядре в качествепакета VIB во всех узлах ESXi, являющихся частью домена NSX. DFW обеспечивает логическуюзащиту сети с помощью брандмауэра благодаря функциям увеличения производительности спрактически линейным коэффициентом, виртуализацией, отслеживания состояния удостоверения,мониторинга активности, ведения журнала и других собственных функций сетевой безопасности длявиртуализации сети. Можно настроить такие брандмауэры для установки фильтра трафика науровне виртуального сетевого адаптера каждой виртуальной машины. Такая гибкость имеет важноезначение для создания изолированных виртуальных сетей, даже для отдельных виртуальных машин,если необходим этот уровень детализации.
Используйте vCenter Server для управления правилами брандмауэра. Таблица правил организованав форме разделов, где каждый раздел определяет конкретную политику безопасности, котораяможет быть применена к конкретным рабочим нагрузкам.
Группы безопасности
NSX предоставляет критерии механизма группирования, в которые можно включить любой изследующих элементов.
n Объекты vCenter Server, например виртуальные машины, распределенные коммутаторы икластеры
n Свойства виртуальных машин, например виртуальные сетевые адаптеры, имена и операционныесистемы для виртуальных машин
n Объекты NSX, в том числе теги безопасности, логические коммутаторы и маршрутизаторы
Механизмы группирования могут быть статическими или динамическими, а в качестве группыбезопасности может выступать любая комбинация объектов, в том числе комбинация объектовvCenter, свойств виртуальных машин, объектов NSX или диспетчера уведомлений, например группAD. Группа безопасности в NSX основана на статических и динамических критериях наряду состатическими критериями исключения, определенными пользователем. Динамические группырастут и сжимаются по мере того, как участники входят и выходят из группы. Например,динамическая группа может содержать все виртуальные машины, имя которых начинается с "web_".В группах безопасности есть несколько полезных характеристик.
n Можно назначить несколько политик безопасности одной группе безопасности.
n Объект может принадлежать одновременно нескольким группам безопасности.
n В группы безопасности могут входить другие группы безопасности.
Глава 2 Обзор архитектуры vRealize Suite
VMware Inc. 39
Используйте средство создания служб NSX для создания групп безопасности и применения политик.Средство создания служб NSX подготавливает и назначает приложениям политики брандмауэра ислужбы безопасности в режиме реального времени. Политики применяются к новым виртуальныммашинам, как только их добавляют в группы.
Теги безопасности
Можно применять теги безопасности к любой виртуальной машине, при необходимости добавляяконтекст о рабочей нагрузке. Можно разместить группы безопасности в тегах безопасности. Тегибезопасности обозначают несколько основных классификаций.
n Состояние безопасности. Например, идентифицированная уязвимость.
n Классификация по отделу.
n Классификация типов данных. Например, данные PCI.
n Тип среды. Например, производство или разработка.
n География и расположение виртуальной машины
Политики безопасности
Групповые правила политик безопасности представляют собой элементы управлениябезопасностью, которые применяются к группе безопасности, созданной в центре обработки данных.С помощью NSX можно создавать разделы в таблице правил брандмауэра. Разделы позволяютулучшить управление и группирование правил брандмауэра. Отдельная политика безопасностипредставляет собой раздел в таблице правил брандмауэра. Эта политика сохраняет синхронизациюмежду правилами в таблице правил брандмауэра и правилами, записанными в политикебезопасности, обеспечивая согласованное применение. Так как политики безопасности написаны дляопределенных приложений или рабочих нагрузок, эти правила разнесены в конкретные разделытаблицы правил брандмауэра. К одному приложению можно применять несколько политикбезопасности. При применении нескольких политик безопасности порядок следования разделовопределяет приоритет правил в приложении.
Службы виртуальных частных сетей
NSX предоставляет службы VPN с именами L2 VPN и L3 VPN, создает туннель L2 VPN между паройустройствNSX Edge, развернутых на отдельных площадках центра обработки данных, а также L3VPN — для обеспечения безопасного удаленного подключения на уровне L3 к сети центра обработкиданных.
Управление доступом на основе ролей
В NSX есть встроенные роли пользователей, регулирующие доступ к компьютеру или ресурсам сетипредприятия. Пользователи могут иметь только одну роль.
Таблица 2‑7. Роли пользователей в NSX Manager
Роль Разрешения
Корпоративный администратор Безопасность и операции NSX.
Администратор NSX Только операции NSX. Например, установкавиртуальных устройств, настройка групп портов.
Администратор безопасности Только безопасность NSX. Например, определениеполитик защиты данных, создание групп портов,отчетов для модулей NSX.
Аудитор Только для чтения.
Обзор службы vRealize Suite
40 VMware Inc.
Интеграция партнеров
Службы, предоставляемые технологическими партнерами VMware, интегрированы с платформойNSX в области управления, контроля и обмена данными, чтобы обеспечить единые условия дляработы пользователей и удобную интеграцию с любой платформой управления облачнымисистемами. Дополнительные сведения см. в разделе https://www.vmware.com/products/nsx/technology-partners#security.
Ключевые понятия NSXАдминистраторы SDDC настраивают функции NSX, чтобы обеспечить сетевую изоляцию исегментирование в центре обработки данных.
Сетевая изоляция
Изоляция — это основа сетевой безопасности, которая обеспечивает соблюдение требований,политику сдерживания и изоляцию среды разработки, среды тестирования и производственнойсреды. Обычно для настройки и обеспечения изоляции и мультитенатности используются спискиуправления доступом (ACL), правила брандмауэра и политики маршрутизации. Эти возможностиизначально обеспечивает виртуализация сети. При использовании технологии VXLAN виртуальныесети по умолчанию изолируются от других виртуальных сетей и от базовой физическойинфраструктуры, обеспечивая принцип безопасности наименьшего уровня привилегий.Виртуальные сети создаются в изоляции и остаются изолированными, если они явно не связанымежду собой. Для включения изоляции не требуются физические подсети, виртуальные локальныесети (VLAN), списки управления доступом или правила брандмауэра.
Сегментация сети
Сегментирование сети связано с изоляцией, но оно применяется к виртуальной сети из несколькихуровней. Обычно сегментирование сети является функцией физического брандмауэра илимаршрутизатора, которая используется, чтобы разрешить или запретить трафик между сегментамиили уровнями сети. Во время сегментирования трафика между Интернетом, приложениями иуровнями базы данных традиционные процессы конфигурации отнимают много времени иподвержены ошибкам, вызванным человеческим фактором, что приводит к значительномуувеличению количества случаев нарушения безопасности. Для реализации сегментированиятребуются специальные знания о синтаксисе конфигурации устройств, сетевой адресации, а такжепортах и протоколах приложений.
Виртуализация сети упрощает построение и тестирование конфигураций сетевых служб длясоздания проверенных конфигураций, которые можно программно развернуть и дублировать повсей сети для обеспечения сегментирования. Сегментирование сети, как и изоляция, — это основнаявозможность виртуализации сети NSX.
Микросегментирование
Микросегментирование изолирует трафик на уровне виртуального сетевого адаптера (vNIC) спомощью распределенных маршрутизаторов и распределенных брандмауэров. Использованиеэлементов управления доступом на уровне виртуального сетевого адаптера более эффективно посравнению с правилами, применяемыми в физической сети. Вы можете использоватьмикросегментирование с распределенными брандмауэрами и распределенными брандмауэрамиреализации NSX, чтобы применить микросегментирование для трехуровневого приложения,например веб-сервера, сервера приложений и базы данных, в котором несколько организаций могутсовместно использовать одну и ту же топологию логической сети.
Глава 2 Обзор архитектуры vRealize Suite
VMware Inc. 41
Модель с нулевым доверием
Чтобы установить самые строгие параметры безопасности, используйте модель с нулевым довериемво время настройки политик безопасности. Модель с нулевым доверием отказывает в доступересурсам и рабочим нагрузкам, если доступ специально не разрешен политикой. Прииспользовании этой модели доступ предоставляется только трафику из белого списка. Не забудьтеразрешить доступ трафику основной инфраструктуры. По умолчанию шлюзы служб NSX Manager,NSX Controller и NSX Edge исключены из функций распределенного брандмауэра. СистемыvCenter Server не исключены и, чтобы избежать блокировки, должны быть явно разрешены, преждечем будет применена эта политика.
Защита кластера управления и рабочих нагрузок арендатораАдминистраторы SDDC могут использовать возможности NSX для изоляции и защиты кластерауправления и рабочих нагрузок арендатора vRealize Suite в центре обработки данных.
Кластер управления включает продукт vCenter Server для домена, продукты NSX Manager иvRealize Suite, а также другие продукты и компоненты для управления. Следует использоватьпротокол Transport Layer Security (TLS) и проверку подлинности для защиты этих систем отнесанкционированного доступа. Следует использовать возможности NSX для усиления изоляции исегментирования виртуальных сетевых систем кластера управления от пограничного кластера, атакже кластеров и систем рабочей нагрузки. Следует разрешить соответствующий доступ ктребуемым портам системы управления, как описано в документации по установке и настройке дляразвернутых систем управления.
Рабочие нагрузки арендатора в центре обработки данных могут быть реализованы как трехуровневыеприложения, состоящие из веб-сервера, а также серверов приложений и баз данных. Следуетиспользовать протокол Transport Layer Security (TLS) и проверку подлинности для защиты этихсистем от несанкционированного доступа. Следует использовать предоставленные службыобеспечения безопасности: строки подключения к базам данных для защиты подключений и SSH длябезопасного доступа к узлу. Следует использовать возможности NSX на уровне vNic для изоляции имикросегментирования рабочих нагрузок арендатора.
Дополнительные сведения об использовании возможностей NSX см. здесь: Руководство VMware NSXfor vSphere (NSX) по разработке Network Virtualization. Для получения сведений о процедурахнастройки возможностей NSX см. документацию VMware NSX for vSphere.
Обзор службы vRealize Suite
42 VMware Inc.
Контрольный список дляустановки vRealize Suite 3
Вы загружаете, устанавливаете и настраиваете продукты vRealize Suite отдельно в конкретномпорядке. Отдельные продукты в vRealize Suite поставляются в виде установочных пакетов длякомпьютеров под управлением Windows или Linux или в качестве виртуальных устройств, которыеможно развертывать на виртуальных машинах, запущенных на узлах ESXi. Выбор продуктов дляустановки зависит от вашего выпуска vRealize Suite.
Чтобы обеспечить совместимость продуктов, убедитесь, что вы используете продукты vRealize Suiteправильных версий. Дополнительную информацию о сертифицированной совместимости VMwareсм. здесь: Руководства по вопросам совместимости продуктов VMware.
Можно также использовать vRealize Suite Lifecycle Manager для совместной установки vRealize Suite ведином упрощенном процессе. См. Установка и управление vRealize Suite Lifecycle Manager.
Рисунок 3‑1. Процесс развертывания vRealize Suite
Установка vRealize Infrastructure Navigator.
Вы используете выпускvRealize Suite
Standard?
Да
Нет
Установка vRealize Business Cloud.
Установка vRealize Automation.
Установка vRealize Log Insight.
Установка vRealize Operations Manager.
VMware Inc. 43
Таблица 3‑1. Контрольный список для установки vRealize Suite
Продукты vRealize Suite Дополнительная информация
Установить vRealize Operations Manager каквиртуальное устройство или как сервер Windows илиLinux.
См. документацию по установке для своей версииvRealize Operations Managern Установка vRealize Operations Manager 6.6n Установка vRealize Operations Manager 6.5n Установка vRealize Operations Manager 6.4n Установка vRealize Operations Manager 6.3n Установка vRealize Operations Manager 6.2
Установить vRealize Log Insight как виртуальноеустройство.
См. документацию по установке для своей версииvRealize Log Insightn Установка vRealize Log Insight 4.5n Установка vRealize Log Insight 4.3n Руководство по началу работы с VMware vRealize
Log Insight 4.0n Руководство по началу работы с VMware vRealize
Log Insight 3.6n Руководство по началу работы с VMware vRealize
Log Insight 3.3.1
Установить vRealize Infrastructure Navigator каквиртуальное устройство.
См. раздел Руководство по установке и настройкеvRealize Infrastructure Navigator
Если вы приобрели выпуск Advanced илиEnterprise продукта vRealize Suite, установитеvRealize Automation. Установите устройствоvRealize Automation, которое обеспечиваетвозможности администрирования исамообслуживания, а также ОС Windows Serverинфраструктуры как услуги (IaaS), котораяподдерживает возможности инфраструктуры дляразных продуктов.
1 Запланируйте установку. См. справочнуюдокументацию по установке для своей версииvRealize Automationn vRealize Automation 7.3, эталонная архитектураn vRealize Automation 7.2, эталонная архитектураn vRealize Automation 7.1, эталонная архитектураn vRealize Automation 7.0.1, эталонная
архитектура2 Установите vRealize Automation. См. документацию
по установке для своей версии vRealize Automationn Установка vRealize Automation 7.3n Установка или обновление vRealize
Automation 7.2n Установка или обновление vRealize
Automation 7.1n Установка или обновление vRealize
Automation 7.0.1
Установить vRealize Business for Cloud каквиртуальное устройство.
См. документацию по установке для своей версииvRealize Business for Cloudn Установка и администрирование vRealize Business
for Cloud 7.3n Установка и администрирование vRealize Business
for Cloud 7.2n Руководство по установке vRealize Business for
Cloud 7.1.n Руководство по установке vRealize Business for
Cloud 7.0.1.
Обзор службы vRealize Suite
44 VMware Inc.
Обновление с предыдущих версийvRealize Suite или vCloud Suite 4
Обновление vRealize Suite с версии vCloud Suite или предыдущей версии vRealize Suite можновыполнить, обновив отдельные продукты до текущих версий. Соблюдайте рекомендуемый порядокобновления, чтобы завершить обновление vRealize Suite без проблем.
Перед обновлением проверьте схему взаимодействия продуктов VMware для каждого продукта,который вы планируете обновить, чтобы убедиться, что у вас установлены поддерживаемыесовместимые версии продуктов. См. веб-сайт со схемами взаимодействия продуктов VMware.
Таблица 4‑1. Обновление продуктов vRealize Suite
Продукт Дополнительные сведения
VMware vRealize Operations Manager Данные из vCenter Operations Manager можно перенестив новую установку VMware vRealize Operations Manager.См. Перенос развертывания vCenter Operations Manager вэту версию.
vRealize Infrastructure Navigator Обновление vCenter Infrastructure Navigator
vRealize Log Insight Обновление vRealize Log Insight
vRealize Automation Обновление vRealize Automation
vRealize Business for Cloud Обновление до vRealize Business for Cloud
VMware Inc. 45
Обзор службы vRealize Suite
46 VMware Inc.
Указатель
NNSX 38
PPaaS 26PLU, См. Портативная единица
лицензирования
SSAML 29Single Sign-On 29
VvCenter Server и безопасность 34vCenter Single Sign-On 28vRealize Suite
лицензирование 11обзор развертывания 43
vRealize Suite, продукты 8vRealize Suite, редакции 7
Аавторизация 28администрирование хранилища 21Архитектура vRealize Suite 13
Ббезопасность
виртуальные машины 35гарантии и ограничения для ресурсов 35уровни 35физический уровень 32
Безопасность хранилища iSCSI 33брандмауэр 38
Ввиртуализация и управление в SDDC 19виртуальная частная сеть 38виртуальные машины
безопасность 35резервирование и ограничения для
ресурсов 35виртуальные сетевые службы 38виртуальные сети 37вопросы безопасности 27вопросы по проектированию 19
Гглоссарий 5группы безопасности 38
Ддокументация по безопасности 27
Иизоляция, виртуальные машины 35Интерфейсы управления ESXi и ESX 33Инфраструктура SDDC 18Инфраструктура как услуга 25
Ккластер полезной нагрузки 15кластер управления 15Компоненты vRealize Suite, обновление
продуктов 45концептуальное проектирование 15
Ллицензирование, vRealize Suite 11логическая защита сети с помощью
брандмауэра 38логическая коммутация 38логическое проектирование 17
Ммикросегментирование 41, 42Мониторинг 24
Ообзор развертывания, vRealize Suite 43обновления продуктов, Компоненты vRealize
Suite 45общее хранилище 21общие службы 28ограничения и гарантии для ресурсов,
безопасность 35
Пплатформа как услуга 26пограничный кластер 15политика безопасности 38Портативная единица лицензирования 11проверка подлинности 28
VMware Inc. 47
программный центр обработки данных 13Программный центр обработки данных
(SDDC) 13продукты кластера управления 17продукты, vRealize Suite 8проектирование ESXi 19
Ррабочий процесс 22распределенная маршрутизация 38редакции, vRealize Suite 7Режим блокировки узла ESXi 33
Ссегментирование 41, 42сертификаты шифрования и безопасности 31сетевая изоляция 41, 42сеть 20Системы vCenter Server 34Слой оркестрации 22стандартные порты коммутаторов 32
Ттеги безопасности 38
Ууправление SDDC 22управление доступом на основе ролей 38управление службами 13управление федеративными
удостоверениями 29уровень виртуальной инфраструктуры 13уровень управления облачными
системами 13установка, обзор развертывания vRealize
Suite 43устойчивость функционирования 13
Ффизический уровень 13
ХХранилище iSCSI 33
Ццелевая аудитория 5
Обзор службы vRealize Suite
48 VMware Inc.
