我需要在我的vCenter中限制一些虚拟机从局域网访问,所以他们不能访问任何其他局域网资源,除了几个位置。 唯一想到的是atm – 创build一个单独的vswitch并在其上分配这些虚拟机,即使是专用的物理端口也是如此。
有什么其他的select我可以使用?
物理交换机中的VLAN等同于vSphere中的端口组。 为隔离的虚拟机创build一个没有物理网卡的新端口组,它们只能相互通信。
如果您希望端口组与现实世界进行通信,请添加物理网卡和相应的VLAN标记,从而使端口组能够与此确切的VLAN进行通信。
您也可以使用虚拟机为您的虚拟端口组路由/过滤stream量,方法是将一个NIC连接到内部端口组,另一个连接到具有VLAN连接性的端口组。 显然,虚拟机需要运行某种路由/防火墙或代理软件。
我不确定你在做什么。 我的理解是这样的:您在VLAN X中有一个VM A,在VLAN X中有一个VM B,并且您想限制它们之间的networking访问,对吗? 那么,如果它们在同一个VLAN中,则ESXi本身无法阻止通信。 不同的虚拟交换机不会有什么帮助:虚拟机A – > vSwitch A – >物理networking – > vSwitch B – >虚拟机B.基本上,这就是同一VLAN中的意思:机器可以直接互相访问。
在Hypervisor中实现它的最好方法可能是NSX,但这是一个昂贵的select。 作为替代scheme,您可以将虚拟机放在不同的VLAN中,并在它们之间放置防火墙。 也可以在物理交换机上使用专用VLAN和ACL来限制networkingstream量。
如果必须将这些虚拟机与局域网访问隔离开来,您所描述的是一种方法,则虚拟机无法连接到连接到局域网上任何物理端口的任何vswitch。
我不知道你的要求是什么,但是我已经看到了在专用的防火墙虚拟机背后设置有限的分段或开发环境的部署,所以pipe理人员不必担心他们紧张的事情,还有其他隔离虚拟机的方法,但仍然允许它们访问某些networking。