Мы экспериментируем с тем, что VMWare назвала «полностью свернутой DMZ» в центре лезвия. В основном наша DMZ переходит прямо в vSwitch, и все устройства безопасности виртуализированы.
Я провел дни, читая о том, почему это хорошая идея и почему это плохая идея, что нужно сделать, чтобы сделать это безопасным, и т. Д., Но единственное, что у меня возникли проблемы с поиском, это информация о лучшей отказоустойчивости метод.
Наш предпочтительный межсетевой экран Edge pfSense который поддерживает CARP. У нас есть 10 блейдов в кластере, поэтому вполне реально иметь два или даже три брандмауэра pfSense с включенным VMWare HA и внутренне настроенным с помощью CARP, которые берут на себя друг друга в случае отказа блейда. Но это похоже на большие административные накладные расходы, а я человек недоверчивый, поэтому это означает, что я буду входить в несколько брандмауэров каждую неделю, чтобы убедиться, что все наши правила и т. Д. Дублируются.
Но зачем возиться с CARP, когда FT VMWare (даже с его нехваткой единственного vCPU) будет обеспечивать все функции CARP и, насколько я могу судить, меньше управления, стресса и заботы о моей работе.
Есть ли веские причины использовать CARP поверх FT или наоборот для программного межсетевого экрана?
Хотя я играл с FT целую вечность, но, честно говоря, я еще не нашел ему реального применения. Проблема не только в том, что один виртуальный ЦП вызывает боль, но и в огромном объеме генерируемого сетевого трафика. Вы действительно в конечном итоге используете большую часть ссылки GigE только для FT, так что вы в конечном итоге перекидываете свой трафик vMotion на другой vswitch, что, если честно, делает все это довольно неприятным занятием. Еще меня беспокоит то, что FT защищает вас только от физических сбоев. Если виртуальная машина FT по какой-либо причине выйдет из строя, вы все равно потеряете услугу, поскольку сбой будет полностью отражен на дополнительной виртуальной машине.
Я осторожный парень, когда дело доходит до производственных систем, и просто не думаю, что FT того стоит прямо сейчас, надеюсь, что это изменится, но у меня скорее были бы другие системы, такие как кластеризация / VIP и т.д.
О, и не беспокойтесь о разрушенных DMZ, если вы используете один из продуктов vShield, я лично считаю, что они так же безопасны, как и любой сервер Cisco.
В дополнение к тому, что упомянул Крис С., с чем я согласен, я бы также выбрал CARP, потому что что происходит, когда вы обновляете брандмауэр или выполняете любое другое обслуживание, требующее перезагрузки или отключения питания? С FT вы не работаете, пока он перезагружается, с CARP все полностью прозрачно. Или, если вам нужно изменить что-то на виртуальной машине, что невозможно сделать, пока она работает, вам нужно отключить все. Используйте CARP, и вы будете в хорошей форме во всех этих сценариях. FT в основном предназначена для защиты от сбоев оборудования, где CARP удовлетворяет любые мыслимые потребности в техническом обслуживании без простоев, а также обеспечивает защиту от сбоев оборудования.
CARP действительно разработан, чтобы позволить вашим хостам определять, отключен ли сетевой адаптер другого хоста (что часто бывает, когда физический хост не работает, но не обязательно)
Преимущество использования CARP по сравнению с VMWare FT будет заключаться в том, что VMWare FT будет вести себя по-другому при выходе из строя сетевой карты.
Если вам удобно запускать брандмауэр на виртуальной машине, единственное, что меня беспокоит, - это поведение FT при сбое сетевого адаптера. Если отказ сетевого адаптера не приводит к переключению FT на отказ, я бы сохранил CARP.