alex777
Contributor
Contributor

"Привязка" ВМ к хосту ESX

Добрый день.

Подскажите пожалуйста существует ли возможность (если есть то наверно это сторонний софт) привязать виртуальные машины к конкретному хосту ESX ? И если эти машины будут перемещены/скопированы на другой не авторизованный хост ESX что бы они не запускались/ не работали.

0 Kudos
9 Replies
adm738
Enthusiast
Enthusiast

в этом и смысл, виртуализации, что бы можно было запустить на другом хосту в случае чего !

решение в лоб взять truecrypt.com зашифровать загрузочную партицию (и/или партицию с данными), тогда Гарнтированно не запустится)))))).

но при этом потерять 5% производительности на шифрование но это пустяки за такие ништяки )))).

0 Kudos
AntonVZhbankov
Immortal
Immortal

Если хочется привязать к хосту, чтобы машина случайно не уехала на другой, то можно. Просто создать на этом хосте уникальную портгруппу и подключить машину туда.

Спастись от действий администратора, желающего запустить ВМ на другом хосте - нет. Более того, vSphere целиком построена так, чтобы ВМ ыбло все равно на каком хосте исполняться.


---

MCSA, MCTS Hyper-V, VCP 3/4, VMware vExpert

http://blog.vadmin.ru

EMCCAe, MCITP: SA+VA, VCP 3/4/5, VMware vExpert http://blog.vadmin.ru
0 Kudos
nwton
Contributor
Contributor

Сначала стоит определиться с тем, от кого хочется защититься:

  1. админ с доступом к файлам бэкапов

  2. админ внутри виртуалки

  3. админ хоста с ESXi

  4. админ хоста с ESXi с физическим доступом к серверной

и от чего хочется защититься:

  1. от простого копирования файлов с виртуалкой из бэкапа - спасет шифрование (либо ключ вводим ручками при каждом запуске ВМ, либо настраиваем скрипт чтобы автоматом брал файл ключа с флешки - в 4.1 уже есть возможность).

  2. от переноса файлов виртуалки админом - прокидываем внутрь физическое устройство сервера (PCI плату или USB Flash/Dongle), а внутри ВМ делаем привязку.

alex777
Contributor
Contributor

Задача:

Защита от переноса ВМ на не авторизованный хост ESX (в том числе и от лиц имеющих физический доступ к серверу ESX и root аккаунт).

Вариант с прокидованием железяки внутрь ВМ ИМХО плох - во первых DirectPath (а я так понимю что речь об этом) накладывает ряд существенных ограничений на хост, а во вторых это привязка на уровне гостевой ОС. Хотелось бы сделать привяку на уровне хоста ESX.

Конечная цель:

поставлять кончному заказчику свое программное решение (несколько ВМ со своим ПО внутри) как услугу SaaS. Оформить эти ВМ, например ввиде vAPP с цифровой подписью (тему про это я уже открывал и там мне дали несколько советов за что всем еще раз спасибо !) и сделать защиту этих ВМ.

То есть некий такой унифицированный и защищенный способ распростронения ПО.

0 Kudos
nwton
Contributor
Contributor

У вас защита нужна от копирования или дублирования? Что плохого в том, что Ваш клиент переместит виртуалку с одного сервера на другой, выключив на первом? Или старый сервер был маломощный, а новый клиент может поставить суперпроизводительный - тогда ставьте ограничение в софт по количеству обработанных данных (прокачанных мегабайт, распечатанных страниц и пр.)

Я вот вижу два варианта - привязываться к локальным HASP ключам в версии 4.1 пробросом с хоста в гостя (отсекая возможность использования USB-over-IP) или копать неофициальное взаимодействие с хостом (в гугле по словам "побег из vmware" и "564D5868h") и привязываться к каким-то параметрам хостовой машинки. Чем решение с HASPом не нравится?

P.S. Есть еще один вариант - если гостевые виртуалки будут постоянно общаться с вашим сервисом и сообщать некоторые данные (например, свое локальное время и номер лицензии раз в 5 минут). Если между двумя сообщениями вклинилось еще одно, то либо произошел мелкий сбой (перезагрузка ВМ), либо она склонировалась в другое место. Дальше - если нарушение лицензии, отзываем ключ и т.п.

0 Kudos
alex777
Contributor
Contributor

Вариант с HASP плох тем, что реализуется на уровне гостевой ОС.

И даже если делать через HASP то нормально это может заработать только на версии ESX 4.1.

Есть вариант модифицировать (шифровать) самописным скриптом файл описания геометрии диска ВМ. Перед запуском ВМ запускать скрипт который расшифровывает этот файл, а после старта ВМ зашифровывает. Возможно ли этот процесс автоматизировать ?

Коллеги, а пользовался ли кто то продуктом vGate (от компании Код безопасности) ? Какие отзывы ?

У них в частности заявлено, наличие: "механизм разграничения запуска виртуальных машин позволяет для каждой конкретной виртуальной машины обозначить список ESX-хостов, где она может быть запущена." Интересно как это реализовано ?

0 Kudos
nwton
Contributor
Contributor

И все таки - от чего Вы хотите защититься? от несанкционированного запуска ВМ одновременно на двух серверах или от возможности несанкционированно скопировать ВМ?

И нужно ли вам поддерживать ESX 3.5/4.0 (а у кого-нибудь еще может ESX 2.8 стоит или GSX) или будете предоставлять полный пакет - железоОСприложение под ключ ?

Продукт vGate - это по факту надстройка над правами доступа самого ESX, будет иметь смысл только полным комплексом. Если Вы отдаете клиенту полный доступ к ESX серверам, то тут уж никто не можем ему запретить делать с виртуалками все что он захочет.

0 Kudos
alex777
Contributor
Contributor

"Защититься" от не законного копирования ВМ и их запуска на не авторизованном ESX хосте.

Поддерживать надо ESX 3.5 и ESX 4 .

0 Kudos
AntonVZhbankov
Immortal
Immortal

>"Защититься" от не законного копирования ВМ и их запуска на не авторизованном ESX хосте.

Практически невозможно. Только если использовать модель Microsoft с центральным сервером лицензий в сети, который должен будет быть подключен к Internet и рапортовать об использовании лицензий.


---

MCSA, MCTS Hyper-V, VCP 3/4, VMware vExpert

http://blog.vadmin.ru

EMCCAe, MCITP: SA+VA, VCP 3/4/5, VMware vExpert http://blog.vadmin.ru
0 Kudos