我的一位客户想在互联网上发布他的人力资源门户,这是一个 IIS 网站,在 Hyper-V 环境中的虚拟机上运行。
该公司有一台主机,配有 2 个配对的 NIC,连接到防火墙(Fortigate 60D)。
我的想法是创建一个新的 WS2012r2 VM,启用并配置 Web 应用程序代理角色并将该机器放在 DMZ 中。
我的担心很简单:如果我设置这台机器的 vNIC 以使用特定 VLAN ID 标记其流量,并在防火墙上创建具有相同 ID 的专用接口,它们会相互通信吗?主机必须直接连接到防火墙吗?(目前没有配置 VLAN)。我应该设置 vswitch 还是单个 vNIC 就足够了?
对不起我的英语不好。
谢谢你的时间。
问候。马蒂诺。大家好。
答案1
第二个 vSwitch 不会比使用 vLAN 更隔离。两者都会导致 Hyper-V 主机隔离 IIS VM 和其余所有内容之间的流量。第二个 vSwitch 会迫使您拆分现有的 NIC 团队,这是不可取的。
只要您的中间(物理)网络交换机配置为允许 VLAN,您的主机甚至不必直接连接到防火墙。