Hyper-V 可扩展虚拟交换机实现多租户安全和隔离 - Windows Server 2012 技术白皮书
1 私有 VLAN(PVLAN)隔离虚拟机
2 ARP 和 ND 中毒/欺骗保护
3 DHCP 保护
4 用于网络隔离和计量的虚拟端口访问控制列表(ACLs)
5 虚拟机的 Trunk 模式
6 监视
7 基于 Windows PowerShell / WMI 的自动化管理
企业内部基础架构向基础架构即服务(IaaS)的转变的同时,保持各租户或客户之间的网络隔离,是一个困难的要求。Windows Server 2012 通过提供一个新的 Hyper-V 可扩展虚拟交换机的基础架构为共享 IaaS 基础架构的客户提供多租户安全。Hyper-V 可扩展虚拟交换机是 2 层的虚拟接口,可提供虚拟机连接到物理网络编程管理和可扩展能力。您可以配置 Hyper-V 执行任何任意群体的网络隔离,典型的应用包括为个人客户或是一组负载的网络进行隔离。通过虚拟接口,可为虚拟机提供连接到物理网络的可编程管理和可扩展能力。
Windows Server 2012 中新的 Hyper-V 可扩展虚拟交换机为多租户提供了隔离和安全的能力,可提供以下新特性:
- 通过私有虚拟网络(PVLAN)隔离多租户虚拟机。
- 地址解析协议/邻居发现(ARP/ND)中毒(也称为欺骗)保护。
- 动态主机配置协议(DHCP)监听和保护
- 虚拟端口访问控制列表 (ACL) 。
- 传统的 VLAN Trunk 到虚拟机的能力。
- 监视。
- Windows PowerShell/Windows Management Instrumentation (WMI).
私有 VLAN(PVLAN)隔离虚拟机
VLAN 技术传统的用于在一个物理网络中,划分子网并且隔离不同子网。WindowsServer 2012 中引入了 PVLAN 技术,与 VLAN 技术一起,可用于隔离同一个 VLAN网络中的两个虚拟机。
如果一个虚拟机不需要与其他的虚拟机通信,那么您可以使用 PVLAN 技术将它与数据中心的其它虚拟机隔离。要配置这种场景,您可以为每一个虚拟机加入一个 PVLAN,为它分配一个 VLAN ID,以及一个或多个 VLAN ID。您可以将第二个 PVLAN 配置为以下表格中列出的三种模式。这些 PVLAN 模式决定了一个虚拟机是否能够与其它虚拟机在 PVLAN 中交换数据。为了隔离一个虚拟机,您可以把它配置成隔离模式。
PVLAN 模式 描述
隔离 隔离的端口在第二层不能与其它端口实现数据包交换。
混杂 混杂端口可以与任何其他在同一主 VLAN ID 端口实现数据包交换。
通信 相同 VLAN ID 的通信端口能够在第二层实现包交换。
下图显示了 PVLAN 模式如何在共享主 VLAN ID 时隔离虚拟机
主 VLAN ID 为 2 的 PVLAN
ARP 和 ND 中毒/欺骗保护
Hyper-V 的可扩展交换机提供保护,防止恶意虚拟机通过 ARP 欺骗(也称为 IPv4 中的 ARP 中毒)窃取其他虚拟机的 IP 地址。这种类型的中间人攻击,恶意虚拟机发送假冒的 ARP 报文,将自己的 MAC 地址关联到一个并不拥有的 IP 地址。不知情的虚拟机发送网络流量到这个 IP 的恶意的虚拟机 MAC 地址,而不是针对该 IP 地址的网络流量预期的目标。对于 IPv6 ,Windows Server 2012 为邻居发现欺骗(ND)提供了同等的保护。
DHCP 保护
在 DHCP 环境中,恶意的 DHCP 服务器会干扰 DHCP 客户端的请求,并提供错误的地址信息。恶意 DHCP 服务器会导致网络流量在发送到合法的目的地之前被路由到恶意的中介嗅探器。为保护和避免这种中间人攻击,Hyper-V 管理员可以指定哪一个Hyper-V 扩展虚拟交换机的端口可以连接到 DHCP 服务器。DHCP 服务器发出到其它的 Hyper-V 扩展交换机端口的通讯将被自动丢弃。Hyper-V 扩展虚拟交换机现在就能够保护和避免恶意的 DHCP 服务器尝试提供 IP 地址,导致流量被重新路由。
用于网络隔离和计量的虚拟端口访问控制列表(ACLs)
在 Hyper-V 可扩展虚拟交换机中,端口的 ACL 为一个虚拟端口提供了网络隔离和流量计量上的机制。通过使用端口的 ACL,可以依据 IP 地址或 MAC 地址,决定虚拟机可以(或不能)进行通信。例如,您可以使用端口的 ACL 执行隔离虚拟机允许它仅与Internet 进行通信,或只用一套预定义的地址。通过使用的计量能力,可以测量一个特定的 IP 地址或 MAC 地址发送或接收的流量,它可以让你的报告发送或接收从互联网或网络存储阵列的网络流量。
您可以为一个虚拟端口配置多个端口 ACL。每个端口的 ACL 包含源或目的地的网络地址和许可,拒绝或计量操作。计量功能,还提供流量试图从禁区(“拒绝”)地址或从一个虚拟机实例的数量信息。以下端口的 ACL 选项可供选择:
- 允许一个源或目的的 IPv4、IPv6 或是 MAC 地址。
- 拒绝一个源或目的的 IPv4、IPv6 或是 MAC 地址。
- 计量一个源或目的的 IPv4、IPv6 或是 MAC 地址。
虚拟机的 Trunk 模式
VLAN 使一组主机或虚拟机看起来是在同一个本地局域网,使其可独立于自己的实际物理位置。在 Hyper-V 可扩展虚拟交换机的 trunk 模式中,来自多个 VLAN 的流量可以直接汇聚到虚拟机中的单一网络适配器,而以前只有一个 VLAN 接收流量。因此,来自不同 VLAN 的流量可以整合,一个虚拟机可以侦听多个 VLAN 流量。此功能可以帮助你规整网络流量和执行多租户数据中心的安全。
监视
许多物理交换机可以监视流经交换机上的特定虚拟机的特定端口的流量。Hyper-V 可扩展交换机也提供了这个端口的监测。管理员可以指定应监视虚拟端口和虚拟端口监控的流量应提供额外的处理。例如,安全监控虚拟机可以寻找异常模式,在通过特定交换机上的其他虚拟机的流量。此外,管理员可以通过监测特定虚拟交换机端口的流量诊断网络连接问题。
基于 Windows PowerShell / WMI 的自动化管理
您可以使用 Hyper-V 可扩展交换机的 Windows PowerShell 3.0 命令创建命令行工具,或是用于实现安装、配置、监视和排错的自动化脚本。这些命令行工具可以远程运行。Windows PowerShell 还允许第三方建立自己的工具来管理 Hyper-V 可扩展交换机。
未知的网友