Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Handbuch</strong> <strong>zur</strong> <strong>Serverkonfiguration</strong> <strong>für</strong> <strong>ESX</strong><br />
Sie können die virtuelle Maschine außerdem durch die Einrichtung von Ressourcenreservierungen und -begrenzungen<br />
auf dem Host schützen. So können Sie zum Beispiel eine virtuelle Maschine mit den detaillierten<br />
Werkzeugen <strong>zur</strong> Ressourcensteuerung, die Ihnen in <strong>ESX</strong> <strong>zur</strong> Verfügung stehen, so konfigurieren, dass sie<br />
immer mindestens 10 Prozent der CPU-Ressourcen des Hosts erhält, nie jedoch mehr als 20 Prozent.<br />
Ressourcenreservierungen und -einschränkungen schützen die virtuellen Maschinen vor Leistungsabfällen,<br />
wenn eine andere virtuelle Maschine versucht, zu viele Ressourcen der gemeinsam genutzten Hardware zu<br />
verwenden. Wenn zum Beispiel eine virtuelle Maschine auf einem Host durch eine Denial-Of-Service (DoS)-<br />
Angriff außer Gefecht gesetzt wird, verhindert eine Einschränkung, dass der Angriff so viele Hardware-Ressourcen<br />
einnimmt, dass die anderen virtuellen Maschinen ebenfalls betroffen werden. Ebenso stellt eine Ressourcenreservierung<br />
<strong>für</strong> jede virtuelle Maschine sicher, dass bei hohen Ressourcenanforderungen durch den<br />
DoS-Angriff alle anderen virtuellen Maschinen immer noch über genügend Kapazitäten verfügen.<br />
Standardmäßig schreibt <strong>ESX</strong> eine Art der Ressourcenreservierung vor, indem ein Verteilungsalgorithmus<br />
verwendet wird, der die verfügbaren Hostressourcen zu gleichen Teilen auf die virtuellen Maschinen verteilt<br />
und gleichzeitig einen bestimmten Prozentsatz der Ressourcen <strong>für</strong> einen Einsatz durch andere Systemkomponenten<br />
bereithält. Dieses Standardverhalten bietet einen natürlichen Schutz gegen DoS- und DDoS-Angriffe.<br />
Geben Sie die spezifischen Ressourcenreservierungen und Grenzwerte individuell ein, wenn Sie das Standardverhalten<br />
auf Ihre Bedürfnisse so zuschneiden wollen, dass die Verteilung über die gesamte Konfiguration<br />
der virtuellen Maschine nicht einheitlich ist.<br />
Sicherheit und die virtuelle Netzwerkebene<br />
Zur virtuellen Netzwerkebene gehören virtuelle Netzwerkadapter und virtuelle Switches. <strong>ESX</strong> verwendet die<br />
virtuelle Netzwerkebene <strong>zur</strong> Kommunikation zwischen den virtuellen Maschinen und ihren Benutzern. Außerdem<br />
verwenden Hosts die virtuelle Netzwerkebene <strong>zur</strong> Kommunikation mit iSCSI-SANs, NAS-Speicher<br />
usw.<br />
Die Methoden, die Sie <strong>zur</strong> Absicherung eines Netzwerks von virtuellen Maschinen verwenden, hängen unter<br />
anderem davon ab, welches Gastbetriebssystem installiert wurde und ob die virtuellen Maschinen in einer<br />
sicheren Umgebung betrieben werden. Virtuelle Switches bieten einen hohen Grad an Sicherheit, wenn sie in<br />
Verbindung mit anderen üblichen Sicherheitsmaßnahmen, z. B. Firewalls, verwendet werden.<br />
<strong>ESX</strong> unterstützt auch VLANs nach IEEE 802.1q, die zum weiteren Schutz des Netzwerks der virtuellen Maschinen,<br />
der Servicekonsole oder der Speicherkonfiguration verwendet werden können. Mit VLANs können<br />
Sie ein physisches Netzwerk in Segmente aufteilen, sodass zwei Computer im gleichen physischen Netzwerk<br />
nur dann Pakete untereinander versenden können, wenn sie sich im gleichen VLAN befinden.<br />
Erstellen einer Netzwerk-DMZ auf einem einzelnen <strong>ESX</strong>-Host<br />
Ein Beispiel <strong>für</strong> die Anwendung der <strong>ESX</strong>-Isolierung und der virtuellen Netzwerkfunktionen <strong>zur</strong> Umgebungsabsicherung<br />
ist die Einrichtung einer so genannten „entmilitarisierten Zone“ (DMZ) auf einem einzelnen Host.<br />
Abbildung 11-4 zeigt die Konfiguration.<br />
162 <strong>VMware</strong>, Inc.