我在 Vmware ESXi 5.5 中有一个四端口 NIC,每个 nic 端口都有一个具有唯一 ip/子网(vmkernel1、2、3 和 4)的等效 vmkernel。如果分配给 vmkernel1 的其中一个虚拟机被某个黑客攻破,这是否意味着分配给其他 vmkernel 的其余虚拟机也会自动被攻破,即使子网不同?我假设来自 vmkernel1 的虚拟机应该无法 ping 通来自 vmkernel2 的虚拟机……等等。有什么建议吗?谢谢。
答案1
您不要将虚拟机连接到 VMkernel 端口,而是将它们连接到虚拟机端口组。
VMkernel 端口 IP 地址分配与虚拟机的 IP 地址分配无关。VMkernel 端口用于管理主机访问、vMotion、iSCSI 等。它们与虚拟机通信无关。
连接到不同 vSwitch 的虚拟机只能通过物理网络相互通信。
如果您需要在连接到不同 vSwitch 的虚拟机之间提供隔离,那么请考虑在物理交换机上使用 VLAN。
获得对连接到一个 vSwitch 的 VM 的未经授权访问的人不会自动提供对连接到其他 vSwitch 的虚拟机的访问权限,但您应该假设,如果他们可以访问一个 VM,那么他们可能也可以访问您的其他 VM。
答案2
我认为您将 vswitches 与 vmkernel 接口混淆了。
为了隔离网卡,每个单独的子网/网卡需要一个 vswitch 和一个端口组(用于放置虚拟机)。
您只需要在您希望 vsphere 本身进行管理的网络上使用 vmkernel 接口,一个就足够了。您不需要在不进行管理的网络上使用这些接口。