如何防止 200 多个虚拟机互相看到但可以访问互联网和共享服务器吗?
这些虚拟机位于几台 ESXi 机器中。
为每个虚拟机设置 1-1 子网似乎不正确。
答案1
我认为实现此目的的唯一方法是使用 VMWare 的“vShield 应用程序“ 或者 ”具有数据安全性的 vShield App“产品,这是他们针对这种情况提出自己的建议。
为每个客户端/VM 创建 VLAN 或专用 VLAN 的问题在于,您必须在交换机上创建它,然后在每个主机的每个 vswitch 上创建它,或者使用分布式交换机创建它(如上所述,您需要非常昂贵的 Ent+ 许可证才能做到这一点)。使用 vShield 工具,您可以使用一个大 VLAN,但将特定的客户端/VM/VM 绑定在一起 - 正如我所说,这正是该软件为解决的问题而编写的。
答案2
你可能正在寻找私有 VLAN这使得主机可以进行通信,但不能在第 2 层相互通信。
答案3
软件防火墙规则拒绝除往返网关之外的所有流量。
我不知道如何在 Linux 中为 200 个用户编写脚本(或者甚至不知道脚本是什么,我假设是这样的iptables
),但在 Windows 上,您可以通过组策略部署该规则。
答案4
由于 Private VLAN 是一种构造协议(Cisco),因此您需要拥有具有正确许可证的特定 Cisco 交换机才能使用 Private VLAN。如果您还没有大型交换机,更简单的解决方案是使用 ebtables 作为桥接防火墙。 http://ebtables.sourceforge.net/