我遇到以下设置的情况:
ESX 主机 - ESX1 Vmware 客户操作系统:box1、box2、box3、box4。
有一个专门的VPN连接box1和box3。
所有客户操作系统都拥有对网络其余部分的完全访问权限。
我的目标是有两个组:
box1 和 box3 在一个组中,box2 和 box4 在另一个组中。
这些应该只能访问其自己的组以及进入 box1/2 的 vpn。它们不应该能够看到网络的其余部分。
由于某些端口和虚拟机问题,有没有办法可以从客户操作系统执行此操作?使用内部防火墙或 ipsec 等?
目标是从我们的实际网络获得一个重复的 AD 环境,在 box3 和 box4 上进行设置。需要重复并共存,因为这是其他系统的一些接口的开发,我无法将其传输到开发环境。
这是一个有点奇怪的请求,但我希望有人能给我指明正确的方向。
谢谢
答案1
想想您将如何物理地做到这一点 - 您有一个单独的物理网络,其中装有测试服务器,并且该网络上有自己的 DC。如果您需要与实时系统进行任何类型的通信,则可以使用连接到两个网络的防火墙/路由器来精确控制允许在网络之间传递的数据包。
您可以在 VMware ESX 中为您的开发环境创建一个新的 vSwitch 来执行此操作。您可以创建一个专用的防火墙虚拟机,运行类似m0n0wall,并将其连接到开发 vSwitch 和生产 vSwitch。
你想成为非常让开发系统上的 DC 与生产网络通信时要特别小心!在将防火墙/路由器连接到生产网络之前,请先设置防火墙规则。