我正在构建一个小型 ESX5 服务器设置。这些服务器上将运行不同公司的不同应用程序。每家公司都有一个虚拟机,该虚拟机有一个面向 Internet 的 vNIC 和一个面向该公司私有虚拟网络(后端)的 vNIC。后端网络用于单独的 Web 服务器和数据库虚拟机。
问题是:为每家公司创建单独的虚拟交换机还是仅使用 VLAN 标记,在性能和/或安全性方面会更好?我的意思是,如果所有专用网络都充分利用了负载,那么使用单独的虚拟交换机会有什么不同吗?
答案1
通常,您需要单独的虚拟交换机。每个交换机至少有 1 个上行链路。在高流量网络中,您可能会遇到物理网卡上的网卡争用。
答案2
单独的 vSwitch 需要单独的物理上行链路。如果您能负担得起 NIC 来实现这一点,这可能是一个不错的选择。如果需要在物理交换机上对单个公司的数据进行 QoS,因为这不是 VMware 的 vswitch 真正能够做到的事情,那么这也可能为您提供一些灵活性,因为您将更可预测地知道哪家公司的数据来自哪条物理电缆。如果您希望流量保持较低水平,这可能不是问题。
更直接地回答您的问题:是的,如果您将公司放在单独的 vSwitch 上,那么一个公司实际上不可能与另一个公司通信,但 VLAN 会给您几乎相同的隔离。为了更好地回答您的问题,我必须看到更好的图表,特别是关于“Internet 连接”vNic 以及您计划如何处理子网划分。
答案3
我会使用 VLAN,因为即使流量跨越多个交换机,您实际上也可以分离流量。此外,VLAN 会比其他虚拟交换机更轻量。VLAN 允许通过过滤和限制广播流量在多个 LAN 之间共享交换机。
我认为使用 VLAN 是可行的方法。