我正在使用 ESXi 改造我的网络。我以前的网络结构如下:
Public -> Win 2008 R2 Server NIC#1
ADDS/DNS/DHCP/RRAS NIC#2 -> Physical Switch (LAN)
此设置为我的所有网络客户端提供了路由和互联网...我决定更加认真地对待我的网络并进行升级,安装了 ESXi 而不是 Win 2008 R2,并且我希望有多个 Win 2012 客户端来划分服务器之前执行的工作。
我有 2 个 NIC 可供使用(如果需要可以再买一个),但我现在无法理解网络方面的问题。
之前,Win 2008 R2 负责所有路由,但如果我将 ESXi 主机连接到新的 Windows 2012 VM(负责处理 LAN 路由),并且该 VM 发生故障,我将无法访问 ESXi 主机。同时,我不想使用硬件路由器,因为我喜欢以前的网络拓扑,所有流量都通过 Windows Server,该服务器也充当防火墙。
我该如何解决这个问题?
答案1
您的设计存在缺陷,正如其他人在评论中所说的那样,您很可能需要单独的硬件来完成这项工作,无论是专用的防火墙/路由器(即 SonicWall、Cisco、Juniper)还是软件设备(即 pfSense、IPCop、IPFire)。
你的网络将会如下所示:
Public <--> Router <--> Physical Switch <--> ESXi Host <--> Windows 2008 Server
| |
| +<--------> Other VMs
|
+<------------> Other LAN devices
这通常是大多数企业环境中的设置方式 - 您有专用的(理想情况下是 HA/冗余)硬件来处理您的 NAT 路由。
使用单独硬件的原因是,正如您所经历的,如果您的路由器与您的 ESXi 主机位于同一硬件上并且您丢失了虚拟机(甚至是主机),那么您也会丢失路由(以及虚拟机/主机托管的任何其他服务 - DNS/DHCP 等)
还有一个攻击媒介和资源效率角度——您是否有足够的信心将 Windows 放在边缘(可公开访问)网络上?通常(我知道这是主观的),成熟的操作系统比专用设备具有更高的攻击媒介。
专用设备从一开始就被设计用于完成这项工作,因此有一个极其精简的操作系统(正如有人指出的那样,即使是专用设备也具有某种描述的操作系统)。
简而言之:为自己配备一个专用的防火墙;从长远来看,你将省去很多麻烦/心痛。