我有一个相当常见的设置 - vSphere 和 ESXi 主机使用 FreeNAS 作为 VM 存储。服务器可以互相看到(显然),因此我想将系统管理流量和用户流量隔离到不同的 VLAN 上,并限制两个盒子上的管理 IP。
在 ESXi 上配置管理访问很容易,但我不知道如何在 FreeNAS 上配置。目前,相关的 FreeNAS 配置是它有一个活动的 NIC(10G Chelsio),IP 为 192.168.1.2,并且尚未在网络上设置 VLAN。我想要执行以下一项或多项操作:
创建两个 VLAN,例如 1 和 2,任何 VLAN 都可以访问共享端口上的共享服务,但只有 VLAN 2 可以访问管理 IP/端口
在一块网卡上创建两个 IP,比如 192.168.1.2 和 192.168.1.3,其中只有 192.168.1.3 可以访问管理登录。
阻止 VLAN != 2 和/或 IP != 192.168.1.3 的管理访问端口(80、443 等)。
由于 FreeNAS 不是路由器或防火墙,因此它没有太多内置功能来执行此操作,因此我不确定如何执行这些操作。将它直接连接到通用 LAN 并不罕见,所以我希望对上述 3 种方法有一个直接有用的答案,这样我就可以选择最适合我的方法,并弄清楚如何在有用的情况下将它们组合起来。
答案1
最符合您需求的一个答案是将存储保留在一个 VLAN 上。最佳做法是将存储保留在专用 VLAN 上。在大型环境中,它应该有专用交换机,主要是因为存储托管的吞吐量很高。这将为您留下至少三个 VLAN,即用户/常规、管理和存储。您可以根据需要允许管理员进入存储和管理。
至于防火墙规则,我假设您将通过路由器、防火墙或交换机 ACL 执行此操作。使用我上面的示例名称,您将配置用户 VLAN 以限制其访问存储或管理 VLAN。可以允许管理 VLAN 与存储 VLAN 进行通信,以便管理 FreeNAS 服务器。
我假设您有另一个设备来进行访问控制,因为您问的问题是针对接口配置的。
为了提供更具体的帮助,如果您添加您正在使用的交换机、路由器或防火墙硬件,那就太好了。
答案2
VMware 推荐的最佳实践是为 iSCSI SAN 设置单独的交换机和端口。
在上述情况下,您将拥有一个具有自己的上行链路的专用 iSCSI vSwitch。为了获得最佳安全性,上行链路将连接到专用的管理第 2 层交换机,该交换机也连接到 FreeNAS 阵列。如果您想在专用 VLAN 上运行 iSCSI 连接,则可以在交换机上为 FreeNAS 和 ESXi 端口组设置 VLAN。
FreeNAS 不需要了解 VLAN,因为交换机将完成所有工作。
如果 FreeNAS 作为在 ESXi 设备上自动启动的 VM 运行,则上述场景将相同,但需要额外步骤将 VM 的 iSCSI NIC 添加到与 VMKernel NIC 相同的端口组。