我在Vmware ESXi 5.5中有一个四端口NIC,每个NIC端口都有一个具有唯一IP /子网(vmkernel1,2,3和4)的vmkernel。 如果万一我的虚拟机被分配给vmkernel1被黑客入侵,这是否意味着我的虚拟机其余的vm被分配给其他vmkernel也会自动受到攻击,即使这些子网是不同的? 我假设vmkernel1的虚拟机不应该能够从vmkernel2等虚拟机。 有什么build议? 谢谢。
您不要将虚拟机连接到VMkernel端口,而是将它们连接到虚拟机端口组。
您的VMkernel端口IP地址分配与您的虚拟机的IP地址分配无关。 VMkernel端口用于对主机,vMotion,iSCSI等进行pipe理访问。它们与虚拟机通信无关。
连接到不同vSwitch的虚拟机无法通过物理networking互相通信。
如果需要在连接到不同vSwitch的虚拟机之间提供隔离,请在物理交换机上使用VLAN进行查看。
有人获得对连接到一个vSwitch的虚拟机的未经授权的访问不会自动提供对连接到其他vSwitch的虚拟机的访问权限,但是您应该假设他们可以访问一个虚拟机,而不是访问其他虚拟机。
我认为你是与vmkernel接口混淆vswitches。
要隔离nics,你需要一个vswitch和一个端口组(把vms放入)每个单独的子网/ nic。
你只需要在vsphere本身要pipe理的networking上使用vmkernel接口,一个就足够了。 你不需要pipe理你的networking。