这个问题类似于: 刀片机箱,多刀片服务器,最接近DMZ的近似值是多less?
在我的情况下,我没有虚拟化,所以我不能像上面的问题的答案中所build议的那样使用vLAN。
所以我在一个机箱里有几个刀片 一些刀片应该是DMZ的一部分,一些刀片应该在DMZ的内部networking中。
所有刀片通过机箱互连是否存在安全问题? 我应该在每个刀片上运行防火墙来限制对内部机箱networking的访问吗?
我将使用运行Linux的HP刀片。
虚拟化不是使用VLAN的先决条件,只需要交换机支持HP刀片系统几乎可以肯定拥有的VLAN即可。
在大多数情况下,您可以configuration每个刀片networking接口在端口上通过端口和VLAN进行连接的内部交换机,从而为您提供分离效果。
我还没有使用惠普刀片式服务器解决scheme,但是我有一个类似的问题,我需要在非虚拟化设置上使用具有多个DMZ刀片式服务器的IBM S机箱来解决这个问题。
通常情况下,你会设置带有标记/中继和(可能)LACP的VLAN,以在机箱交换机模块和networking上的真实交换机之间的上行链路之间提供冗余,但是我觉得使用less量的刀片(3)我设置了一个简单的networking,我跳过了VLAN中继,而是将刀片/交换机模块端口配对视为主机/服务器接口(见下文),并将它们插入到未标记的本地VLAN中 – “受信任”或“DMZ “VLAN和适当的防火墙接口 – 在我为这个项目devise的一台pipe理型交换机上。
我通过高级pipe理模块接口(主机箱“命令和控制”单元)上的数据包嗅探发现,我可以看到来自内部机箱networking(来自各种I / O模块)的大量(代理)ARP聊天信息,但从安装在刀片本身的裸机上的操作系统/networking堆栈(Linux)中,我无法“看见”DMZ主机中的任何非DMZ主机,因为我已经为刀片交换机上的每个物理接口模块分配给一个隔离的组,然后将其分配给刀片,从而有效地将刀片上的交换机模块端口与逻辑接口(即交换机模块上的1:1)build立1:1的比率,并将端口1分配给组1,到刀片1; 端口2被分配组2,分配给刀片2,依此类推。
至于共享存储,我再次做了类似的分区(刀片和存储之间的I / O端口映射;这决定了刀片可以访问的硬盘),RAID池和卷(在OS中分区/格式化/装载的块级设备)。
一旦你了解到刀片机箱只是一个更整洁/更高效的硬件I / O架构,你在逻辑上在存储或networkingconfiguration中所做的事情基本上与物理上相同。