出于好奇,将防火墙作为VM guest(无论VM主机 – ESX,Xen,Hyper-V等等),将其他VM guest虚拟机的所有stream量redirect到防火墙是否是毫无意义/浪费/愚蠢的VM guest?
我不确定其他人/组织是否实践这一点。 我知道可能会受到限制(CPU,RAM,磁盘/networkingI / O)的资源可能会通过任何stream量,但有没有其他情况下或将防火墙作为访客虚拟机,并让其他虚拟机路由到它的情况比主机虚拟机的外部盒子更好或者更好 ?
在性能方面,我意识到作为访客虚拟机资源的使用会影响到其他客人,但除此之外,我错过了什么? 安全,最佳实践,常识?
任何想法,评论或批评都是受欢迎的。
这是一种非常常见的configuration,通常称为“DMZ in a box”。 以下是一个VMware白皮书 ,讨论使用虚拟基础架构的各种级别的折叠DMZ。
VMware的vSphere基于其中的一些想法,并通过名为vShield Zones的产品扩展它们