假设您需要在 ESX 服务器上安装多台虚拟机。这些虚拟机由两个不同的组组成,并且这些组只能通过物理防火墙相互通信。
那么,从网络隔离的角度来看,什么才是有意义的呢?所有虚拟机是否都在同一个网络中运行?虚拟以太网引擎并使用 VLAN 标记在后台进行分离,还是使用其他方法,例如使用不同的内存空间虚拟以太网引擎对于每个 vSwitch?我找不到任何有关 vSwitch 隔离实际强度的信息,除了思科的销售宣传说只有 Nexus 1000v 才能进行真正的隔离。
我想了解您对此类环境中虚拟交换机隔离和 VLAN 标记的安全性的看法。
谢谢,
最重要的是,它确实应该改变我们用虚拟机建立 LAN 连接的方式。如果它与物理分离相当,那么这个图表就很合乎逻辑了:
否则,如果它使用 VLAN 标记,我们需要在物理交换机上使用 VLAN 标记(这不会降低该解决方案的安全性)。
请记住,我没有将冗余层表示到这些图表中。
答案1
我不知道误解从何而来,也不知道思科为何声称只有 Nexus 1000V 提供完全隔离,但 VMware ESX 虚拟交换的基本事实是 ESX 主机内的 vSwitch 之间没有连接。它们是极其简单的虚拟第 2 层设备,无法设置交换机间链路。
第一个图表描述了所有 vSwitch 的行为。分布式 vSwitch 稍微复杂一些,因为它们必须具有外部上行链路,以便流量能够在主机之间移动,但即使有这些,以太网流量也无法在虚拟机管理程序内的 vSwitch 之间移动,它必须传输到外部设备,然后再切换或路由回来。