出于好奇,将防火墙作为 VM 客户机(无论 VM 主机 - ESX、Xen、Hyper-V 等)并通过防火墙 VM 客户机重定向来自其他 VM 客户机的所有流量是否毫无意义/浪费/愚蠢?
我不确定其他人/组织是否也这样做。我知道资源可能会受到限制(CPU、RAM、磁盘/网络 I/O),这取决于流量是否通过,但还有其他场景或情况可以将防火墙作为客户虚拟机,而让其他客户虚拟机路由到它更好的或者可比从主机 VM 连接到外部盒子?
在性能方面,我意识到作为客户虚拟机资源的使用将影响其他客户虚拟机,但除此之外,我还遗漏了什么吗?安全性、最佳实践、常识?
欢迎任何想法、评论或批评。
答案1
这是一种非常常见的配置,通常称为“盒中 DMZ”。这是 VMware 白皮书讨论了使用虚拟基础设施崩溃的 DMZ 的各个级别。
VMware 的 vSphere 以这些想法为基础,并将其扩展为一款名为vShield 区域