VMware-Forum

Hallo,

vielleicht weiss jemand von euch bescheid, ich blicke irgendwie nicht mehr durch die vShield Produktpalette durch Ich habe vSphere 5 Enterprise und laut lizenzierten Funktionen vshield-Zonen und vshiled Endpoint.

Bei ESX 4 konnte ich noch Regeln erzeugen und vorgeben welche VM mit welchen Ports/VMs kommunizieren darf. Gibt es dieses Regelwerk bei 5 nicht mehr? Ich finde es jedenfalls nicht

Viele Grüße
MrSam

“vShield Zones has been included as a part of certain vSphere editions (Essentials Plus and above). The original End of Support policy date for vShield Zones, in line with the Enterprise Application Support lifecycle policy, can be found here. However, VMware has extended support for vShield Zones that has been included in vSphere 5.1 through August 30, 2013. vSphere 5.1 is the last release to support vShield Zones”

R.I.P.

Leider wird es nicht mehr weiter entwickelt und ein Nachfolger ist nicht in Sicht:

EOA/End of Support
VMware has announced the End of Availability and End of Support for vShield Zones. Please click here for further information

http://kb.vmware.com/selfservice/micros ... Id=2042595

Wir haben hier jetzt auch die Anforderung VMs in die DMZ zu setzen und die sollen sich in der DMZ nicht gegenseitig sehen... jemand eine Idee wie ich das realisieren soll ausser jeder VM eine eigene NIC zu opfern?

Das DMZ hat ein VLAN TAG und ist von ESXi zur Firewall geroutet.

Danke für ein Feedback
Volkan

vsenguel hat geschrieben:Leider wird es nicht mehr weiter entwickelt und ein Nachfolger ist nicht in Sicht:

EOA/End of Support
VMware has announced the End of Availability and End of Support for vShield Zones. Please click here for further information

http://kb.vmware.com/selfservice/micros ... Id=2042595

Wir haben hier jetzt auch die Anforderung VMs in die DMZ zu setzen und die sollen sich in der DMZ nicht gegenseitig sehen... jemand eine Idee wie ich das realisieren soll ausser jeder VM eine eigene NIC zu opfern?

Das DMZ hat ein VLAN TAG und ist von ESXi zur Firewall geroutet.

Danke für ein Feedback
Volkan

eine virtuelle Firewall (Astaro Essentials oder ipcop oder iptable sauf einer Konsole) einrichten und pro DMZ ein virtuelles Netzwerk einrichten mit einem "Bein" an der Firewall?
Könnte je nach Last natürlich ein Perdomancethema werden.

Gruss


Gr

Es gibt zwar keinen direkten Migrationspfad, aber vCloud Networking and Security deckt den größten Teil der Features ab. Die Standard Suite von vCloud Networking and Security sollte auch in deinem Fall passend sein.

Ich habe als Alternative noch das Juniper VGW auf der Liste. Aber letztendlich kann ich auch einfach ein Upgrade auf Enterprise Plus machen, dann hätte ich das vCloud Networking and Security gleich dabei.

Parallel dazu schiele ich aber auch noch auf Cisco Nexus (1100&1110) wegen unserer Citrix Umgebung.

Mit Enterprise Plus gibt es die Moeglichkeit "private VLANs" einzurichten, jedoch bringt das nichts wenn der Rest des Netzwerks (switches/firewall) nicht damit umgehen kann.

Ich habe aehnliche Anforderungen und loese das seit jahren mittels vielen VLAN's, dedizierte /29'er Netz sofern Kunden shell zugriff auf dem system bekommen, /24'er und PF oder iptables regeln wenn ausser der IT fuer wartung kein weiterer shell zugriff benoetigt wird.

Die regeln fuer die VM's werden zentrale verwaltet und mittels cfengine oder spacewalk deployed.

Bei der Ent+ ist keine vCloud vCloud Networking and Security dabei.

So wie es aus sieht kann ich die "VMware vCloud Networking and Security" auf meinem "VMware vSphere 5.1 Standart Cluster" nicht betreiben da die Voraussetzung die Enterprise Version ist


http://www.vmware.com/files/pdf/product ... ty-FAQ.pdf

Andere Variante mit Originalprodukten von VMware scheint es wohl nicht zu geben, ausser ich nehme die Sophos UTM oder ein entsprechendes Pendant...

Gruss
Volkan

Woraus liest du das?

Former VMware vShield Endpoint™ capability has been integrated in VMware vSphere® 5.1 and is available in all vSphere editions and kits, with the exception of VMware vSphere Essentials Kit. Therefore, vCloud Networking and Security is not required to use vShield Endpoint.

Heißt für mich: Keine Essentials/ Essentials Plus, aber sehr wohl Standard, Enterprise und Enterprise Plus.

Oben im pdf faq 2. Punkt.

Aeh..... nicht das ihr an einander vorbei redet aber vShield besteht aus mehreren Komponenten welche sich unterschiedlich lizenzieren. Das macht es nicht gerade leicht.

Das vShield Endpoint ist nur eine API und ist ueberall enthalten aus dem kleinen vSphere Essentials. Um es nochmal deutlich zusagen es ist auch im Essentials Plus enthalten. VMware selber hat aktuell kein eigenes Produkt was hier andockt sondern es kommen die 3rd. Party Anbieter wie TrendMicro, Symantec, Kaspersky usw. zum Zuge.

Was die PVLAN angeht so der Hinweil das es der phy. Switch auch supporten muss. Wir haben DMZ phys. getrennt und die Switche dort waren schon aelter bzw. unterer Standard. Das haben wir hier geaendert und in der DMZ kommen nun PVLANs zum Einsatz.

Gruss
Joerg

Mir gings dabei um die vShield Endpoint, also quasi die virtuelle Firewall.

Ich brauche so eine im Cluster, nur bekomme ich es wohl nicht ohne ein Enterprise Upgrade...

Volkan

Die Firewall heist vShield Edge oder nun "vCloud Networking and Security Edge". Laut alter Preisliste ist fuer das alte vSphere Edge am 15.10.2012 EndOfSales gewesen.

Gruss
Joerg