我们正在试验 VMWare 在刀片中心上所谓的“完全折叠 DMZ”。基本上,我们的 DMZ 直接进入 vSwitch,并且所有安全设备都虚拟化了。
我花了好几天的时间阅读关于为什么这是一个好主意、为什么这是一个坏主意、需要做什么才能保证安全等内容,但有一件事我很难找到,那就是有关最佳容错方法的信息。
我们选择的边缘防火墙是普富思它支持 CARP。集群中有 10 个刀片,因此完全可以有两个甚至三个 pfSense 防火墙,启用 VMWare HA 并在内部配置 CARP,以便在刀片发生故障时相互接管。但这似乎需要很多管理开销,而且我是一个不信任别人的人,所以这意味着我每周都要登录多个防火墙,以确保我们所有的规则等都已镜像。
但是,既然 VMWare 的 FT(即使其单个 vCPU 存在缺陷)能够提供 CARP 的所有功能,而且据我所知,还能减少我的工作管理、压力和担忧,那么为什么还要费心使用 CARP 呢?
总结:
对于基于软件的防火墙,是否有任何令人信服的理由使用 CARP 而不是 FT,或反之亦然?
答案1
虽然我已经使用 FT 很久了,但说实话,我还没有找到它的实际用途。不仅单个 vCPU 很麻烦,而且产生的网络流量也非常惊人。您确实最终会将大部分 GigE 链路用于 FT,因此最终会将您的 vMotion 流量转移到另一个 vswitch 上 - 说实话,这让整个事情变得非常麻烦。我的另一个担心是,FT 只能保护您免受物理故障的影响,如果 FT 的 VM 因任何原因而崩溃,那么您仍然会失去服务,因为中断将完美地反映在辅助 VM 中。
当谈到生产系统时,我是一个谨慎的人,并且认为 FT 现在不值得,希望这种情况会有所改变,但我宁愿使用其他系统,如集群/VIP 等。
哦,不要担心 DMZ 崩溃,如果您使用 vShield 产品之一,我个人认为它们与任何 Cisco 盒子一样安全。
答案2
CARP 的设计目的是让您的主机检测其他主机的网络网卡是否处于离线状态(通常当物理主机关闭时会出现这种情况,但不一定)
与 VMWare FT 相比,使用 CARP 的优势在于当 NIC 出现故障时,VMWare FT 的行为会有所不同。
如果您愿意在虚拟机上运行防火墙,那么我唯一担心的就是 NIC 故障时的 FT 行为。如果 NIC 故障不会强制 FT 进行故障转移,那么我会保留 CARP。
答案3
除了 Chris S 提到的内容(我同意),我还会选择 CARP,因为当您升级防火墙或进行任何其他需要重新启动或关闭电源的维护时会发生什么?使用 FT,在重新启动时您将处于关闭状态,而使用 CARP,则完全透明。或者,如果您需要在虚拟机上更改某些无法在虚拟机运行时完成的操作,则必须切断一切。使用 CARP,您在所有这些情况下都处于良好状态。FT 主要用于防止硬件故障,而 CARP 可满足任何可以想象到的维护需求,完全不停机,并防止硬件故障。