Security
虛擬 Web 伺服器配置 dmz
我有 2 個帶有 Esxi 的 rx300 伺服器,我想將其中之一用作執行 2 個 VM 的 Web 虛擬伺服器:
郵件伺服器
用於企業網站和電子商務的 WEB 伺服器。
esxi 伺服器有一個帶有 SAN 的 iscsi 配置,到目前為止,一切都在企業其他部分的同一個 LAN 中(物理連接到中央 LAN 交換機)。我有一個帶有 DMZ 埠和 DMZ 配置的路由器/防火牆。
我的問題是:
通過將 Esxi+SAN 物理連接到連接到防火牆 DMZ 埠的新交換機,我是否被迫將所有 Esxi+SAN 放入 DMZ?或者我可以讓 Esx+SAN 連接到 LAN-side-Switch 並在防火牆上進行一些安全配置以獲得相同的安全級別?
在這種情況下,最佳做法是什麼?
將來我還想將此 Esxi 伺服器用於執行 LAN 端的 VM 應用程序。
是否有可能製作混合基礎設施?
理想情況下,您希望您的儲存流量位於完全專用/隔離的網路上。儲存流量在隱私和性能方面都非常敏感,因此將其與其他流量分開始終是一個好主意。
此外,管理網路和公共網路應該分開以獲得更好的安全性和性能(例如,在 vmotion-ing 時,您不希望探勘公共 gbit NIC)。
所以我的建議是:
儲存流量的單獨交換機/網卡。
LAN 和管理流量的獨立網卡。
並為公共交通單獨的網卡。
對於公共和區域網路流量,您可以使用相同的託管交換機並使用 VLAN 分隔流量。儘管最好為每種類型的流量使用單獨的交換機。
只是為了讓自己清楚,我並不是說使用單個物理 NIC 來傳遞管理和 LAN 流量,而是將多個 NIC 連接到不同 VLAN(訪問)埠上的同一交換機。