刚购买了 ASA 5505 和单独的千兆交换机,以及戴尔 R610 虚拟化服务器来替换现有的裸机网络服务器。
将会有 2 台物理机,运行 ESXi 4.1 的 R610 和一台备份服务器(旧 SC 1435)。
R610 有 2 个双端口 NIC,全部将连接到交换机,备份服务器也将连接到交换机,交换机将连接到 ASA,因此:
上行链路 >> ASA >> 交换机 >> 2 个服务器
我感到困惑的是该如何处理我拥有的 30 个 IP 块。
负责进行 ASA 设置的数据中心工程师建议:
****************
66.xxx.47.96/27
Network: 66.xxx.47.96
Gateway: 66.xxx.47.97
Firewall: 66.xxx.47.98
Switch: 66.xxx.47.99
Name Server 1: 66.xxx.47.100
Name Server 2: 66.xxx.47.101
Backup Server: 66.xxx.47.102
First Usable for production server: 66.xxx.47.103
Last Usable for production server: 66.xxx.47.126
Broadcast: 66.xxx.47.127
****************
我认为对于 ESXi 服务器,NIC1 端口 1 将用于控制台管理器;NIC1 端口 2 将用于开发虚拟机;NIC2 端口 1 将用于 LAMP 生产虚拟机(即现有的裸机 Web 服务器),NIC2 端口 2 将用于 Rails/Grails 虚拟机
当前的 Web 服务器仅使用 6 个 IP,因此显然我具有一定的灵活性。
我只是不想把自己逼入绝境,你会如何将 .103~.126 IP 分配给 ESXi 4 NIC 端口?此外,如果名称服务器超出了 ESXi 的侦听范围,DNS 请求将如何路由到 ESXi 上的目标 VM?
非常感谢你的想法...
谢谢!
答案1
你到底为什么要把交换机等放在公共互联网上?这听起来太疯狂了。
我强烈建议您有两个 VLAN - 一个用于内部流量(例如 192.168.xx),另一个用于公共流量的 DMZ(66.x.47.x 范围)。
从安全角度来看,将备份服务器和交换机放在公共网络上是没有意义的。这只会自找麻烦。
ESXi 支持 vNIC 的 VLAN 标记,因此只需为虚拟机分配两个 vNIC,一个在专用网络上,一个在公共网络上,这应该不成问题。然后只需将公共 IP 地址分配给需要它们的虚拟机即可。
最终你想要的是看起来像这样:
(来源:stackoverflow.com)
对于 ESXi 不“知道”的请求,将照常通过您的默认网关进行路由。您的网关应该足够智能,知道这些 IP 地址位于其自己的网络上(正确配置的 Cisco ASA 非常智能),因此它会将它们路由回您(最好在具有公共 IP 地址的 vLAN 上)。这与任何其他网络没有什么不同,并且不仅限于 ESXi。