我正在寻找一些有关虚拟环境(特别是在 VMWARE ESXi 下)内网络流量隔离的最佳实践的见解。
目前我有(正在测试) 1 台运行 ESXi 的硬件服务器,但我希望将其扩展到多台硬件。
当前设置如下:
1 个 pfsense VM,此 VM 接受所有外部(WAN/互联网)流量并执行防火墙/端口转发/NAT 功能。我有多个公共 IP 地址发送到此 VM,用于访问各个服务器(通过每个传入 IP 端口转发规则)。此 VM 连接到所有其他 VM 所在的私有(虚拟)网络。它还管理进入私有网络的 VPN 链接,并有一些访问限制。这不是外围防火墙,而是仅用于此虚拟池的防火墙。
我有 3 台可以相互通信的虚拟机,并且有一些公共访问要求:
1 个运行电子商务网站的 LAMP 服务器,可访问公共互联网
1 台会计服务器,通过 windows server 2008 RDS 服务访问,供用户远程访问
1 个库存/仓库管理服务器,通过 VPN 连接仓库中的客户端终端
这些服务器不断地互相通信以同步数据。
目前,所有服务器都位于同一子网/虚拟网络上,并通过 pfsense VM 连接到互联网。pfsense 防火墙使用端口转发和 NAT 允许外部访问服务器以获取服务并允许服务器访问互联网。
我的主要问题是:
在每个服务器上添加第二个虚拟网络适配器并控制流量,使得所有服务器到服务器的通信都在一个单独的虚拟网络上,而任何对外界的访问都通过另一个网络适配器、防火墙和互联网进行路由,这样是否有安全优势?
如果这些都是物理服务器,这就是我会使用的架构类型,但我不确定虚拟网络是否会改变我锁定该系统的方式。
谢谢您对任何合适文献的想法或指导。
答案1
您当前的配置很好。私有交换机数据只能由连接到它的任何机器访问。您的访问范围有限,因此您应该是安全的。如果您要做什么,您可能会将第二个 NIC 添加到 PF 感知到单独的私有 vSwitch 以基本上拥有 DMZ,但这不是必需的,而且有点过分。您的里程可能会有所不同。
答案2
只有当您看到分离“服务器间”与“客户端访问”流量的好处时,否则您当前的安排下已经有一个“私有”/“受保护”的网络。
答案3
通过分离虚拟机流量,您还可以受益于不阻塞单个网络。
答案4
虽然您当前的配置看起来不错,但我建议添加另一个网络适配器,以避免将来带宽使用量的增加。