我已经inheritance了一个戴尔M1000e刀片机箱和16个M600刀片,现在正处于从独立式迁移到集群式的过程中。 每个都运行Server 2008 R2 SP1和Hyper-V。 我的问题是我想要pipe理在集群中托pipe多个客户端的stream量隔离的最简单的方法。 换句话说,我们的M1000e机箱是一个公共云,我们希望为我们的中小企业客户划分成更小的私有云。 然而,隔离纯粹是合乎逻辑的。 多个客户端可以并且将被托pipe在相同的物理服务器上。 所有隔离都必须能够在虚拟机之间的物理主机之间进行故障切换。
任何人都可以指出一些“最佳实践”的方法来处理这种或类似的情况? 到目前为止,我只处理了私人内部networking,从来没有在多个业务之间共享。
我目前的计划是使用我们使用的M6220刀片交换机的“绑定IP子网到VLAN”function。 然后,我会和我的同事们build立一个约定,VLAN的前两位是识别客户端,后两位识别客户端私有云中的一个VLAN。 然后,前两位数字成为子网的第二个八位位组,后两位数字确定子网的第三个八位位组。
例如:公司ID:12pipe理VLAN:99 WAN VLAN:10 LAN VLAN:20
IP子网:pipe理:10.12.99.0/24 WAN:10.12.10.0/24 LAN:10.12.20.0/24
VLAN到子网映射:10.12.99.0/24:VLAN 1299 10.12.10.0/24:VLAN 1210 10.12.20.0/24:VLAN 1220
这将允许我隔离40个客户端,每个客户端都有100/24个VLAN。 我想我可以颠倒这个顺序,每个客户端都有40个VLAN,但是我们太小了,我没有40个客户,更不用说100个客户了。
无论如何,这是一个理智的计划吗? 我喜欢它,因为唯一需要完成的VLANconfiguration位于交换机和网关路由器上。 而且,如果一台虚拟机从一台主机到另一台主机出现故障,这并不重要,因为stream量是基于子网隔离的,而不是交换机上的特定端口。 我能看到的唯一缺点是它不是安全的,因为只是改变一个网卡的IP就可能把它放在另一个VLAN上。
然而,我认为这是不可能的,因为我们将自己configuration和pipe理大部分(如果不是全部)这些环境,并且很less的客户端将直接login到服务器,更不用说更改IP。 我们的大部分客户都雇用了我们,因为他们没有IT部门,所以他们中的任何一个人都知道VLAN甚至是什么的可能性非常小。
思考?