这个问题类似于: 刀片机箱,多刀片服务器,最接近 DMZ 的是什么?
就我而言,我没有虚拟化,所以我无法使用上述问题的答案中所建议的 vLAN。
因此,我在一个机箱中安装了多台刀片服务器。一些刀片服务器应属于 DMZ,一些刀片服务器应位于内部网络(DMZ 后面)。
所有刀片都通过机箱互连,是否存在安全问题?我是否应该在每个刀片上运行防火墙以限制对内部机箱网络的访问?
我将使用运行 Linux 的 HP 刀片。
答案1
虚拟化不是使用 VLAN 的先决条件,您只需要交换机支持 VLAN,而您的 HP 刀片系统几乎肯定会具有这种支持。
在大多数情况下,您可以逐个端口地配置每个刀片网络接口所连接的内部交换机,并在此时配置 VLAN,以实现所需的分离。
答案2
我没有使用过 HP 的刀片解决方案,但是我遇到了类似的问题,需要在非虚拟化设置上使用带有多个 DMZ 刀片的 IBM S 机箱来解决。
通常,您会设置带有标记/中继和(可能)LACP 的 VLAN,以在机箱交换机模块和网络上的实际交换机之间的上行链路之间提供冗余,但我觉得,由于我拥有的刀片很少(3 个),并且网络设置过于简单,我跳过了 VLAN 中继,而是将刀片/交换机模块端口配对视为主机/服务器接口(见下文),并将它们插入未标记的本机 VLAN(“受信任”或“DMZ”VLAN,以及适当的防火墙接口)中,该 VLAN 位于我为该项目配备的一个托管交换机上。
我发现,通过高级管理模块接口(主机箱“命令和控制”单元)上的数据包嗅探,我可以看到很多来自内部机箱网络(来自各种 I/O 模块)的(代理)ARP 聊天,但是从安装在刀片裸机上的操作系统 / 网络堆栈(Linux)中,我无法从 DMZ 主机中“看到”任何非 DMZ 主机,因为我已将刀片交换机模块上的每个物理接口分配给一个隔离组,而该组又分配给一个刀片,从而有效地设置了交换机模块端口与刀片上逻辑接口的 1:1 比例,即在交换机模块上,端口 1 分配给组 1,而组 1 又分配给刀片 1;端口 2 分配给组 2,而组 2 又分配给刀片 2,依此类推。
至于共享存储,我再次做了类似的事情,结合了分区(刀片和存储之间的 I/O 端口映射;这决定了刀片可以访问哪些硬盘)、RAID 池和卷(在操作系统中分区/格式化/安装的块级设备)。
一旦您意识到刀片机箱只是一种更整洁/更高效的硬件 I/O 架构,您在存储或网络配置中逻辑上所做的事情与物理上做的事情本质上是相同的。