我正在寻找一些虚拟环境中的networkingstream量隔离的最佳实践,特别是在VMWARE ESXi下的洞察。
目前,我有(testing中)1台运行ESXi的硬件服务器,但我希望将其扩展到多个硬件。
目前的设置如下:
1个pfsense虚拟机,这个虚拟机可以接受所有外部(广域网/互联网)stream量,并执行防火墙/端口转发/ NATfunction。 我有多个公共IP地址发送到这个虚拟机,用于访问单个服务器(通过每个传入的IP端口转发规则)。 该虚拟机连接到所有其他虚拟机所在的私有(虚拟)networking。 它还pipe理VPN连接到一些访问限制的私人networking。 这不是外围防火墙,而是仅用于此虚拟池的防火墙。
我有3个互相通信的虚拟机,还有一些公共访问需求:
1 LAMP服务器运行电子商务网站,公共互联网可访问
1个计费服务器,通过windows server 2008 RDS服务进行访问,供用户远程访问
1库存/仓库pipe理服务器,VPN到客户端仓库
这些服务器经常互相交谈数据同步。
目前所有的服务器都在同一个子网/虚拟networking上,并通过pfsense虚拟机连接到互联网。 pfsense防火墙使用端口转发和NAT来允许外部访问服务器以访问服务器和访问互联网。
我的主要问题是这样的:
将第二个虚拟networking适配器添加到每个服务器并控制stream量,从而使所有服务器到服务器通信位于一个单独的虚拟networking上,而通过另一个networking适配器通过防火墙路由对外部世界的任何访问,并在互联网上。
如果这些服务器都是物理服务器的话,这就是我所使用的体系结构types,但是我不确定虚拟networking是否会改变我应该locking这个系统的方式。
感谢您对任何适当文献的任何想法或方向。
你目前的configuration没问题。 专用交换机数据只能通过连接到它的任何机器访问。 你有一个有限的访问范围,所以你应该是安全的。 如果你做了任何事情,你可以添加第二个网卡到PF的感觉到一个单独的私人vSwitch基本上有一个DMZ,但没有必要和有点过分。 你的青贮可能会有所不同。
只有当你看到分隔“服务器间”与“客户端访问”stream量的好处,否则你已经有一个“私人”/“受保护的”networking与你目前的安排。
通过分离VMstream量,您也可以通过不窒息单个networking而受益。
虽然,您当前的configuration看起来不错,但我build议添加另一个networking适配器,以避免将来增加带宽使用量。