我需要限制 vCenter 中几个虚拟机的 LAN 访问,这样它们就无法访问除少数位置之外的任何其他 LAN 资源。现在唯一想到的就是创建一个单独的 vswitch 并在其上分配这些虚拟机,即使有一个专用的物理端口。
还有其他我可以使用的选项吗?
答案1
vSphere 中的端口组相当于物理交换机中的 VLAN。为隔离的虚拟机创建一个没有物理网卡的新端口组,它们只能相互通信。
如果您希望端口组与现实世界通信,请添加物理 NIC 和适当的 VLAN 标记,以使端口组能够与该精确的 VLAN 通信。
您还可以使用虚拟机来路由/过滤纯虚拟端口组的流量,方法是将一个 NIC 连接到内部端口组,将另一个 NIC 连接到具有 VLAN 连接的端口组。显然,该虚拟机需要运行某种路由/防火墙或代理软件。
答案2
我不确定你想做什么。我的理解是这样的:你在 VLAN X 中有一个 VM A,在 VLAN X 中有一个 VM B,你想限制它们之间的网络访问,对吗?好吧,如果它们在同一个 VLAN 中,ESXi 本身就无法停止通信。不同的虚拟交换机不会有帮助:VM A -> vSwitch A -> 物理网络 -> vSwitch B -> VM B。基本上,这就是在同一个 VLAN 中的含义:机器可以直接相互访问。
在虚拟机管理程序中执行此操作的最佳方法可能是NSX但这是一个昂贵的选择。作为替代方案,您可以将虚拟机放在不同的 VLAN 中,并在它们之间放置防火墙。或者您可以使用私有 VLAN以及物理交换机上的 ACL 来限制网络流量。
答案3
如果您必须将这些虚拟机与 LAN 访问隔离,那么您所描述的一种方法是,虚拟机不能连接到任何连接到 LAN 的任何物理端口的 vswitch。
我不知道您的要求是什么,但我已经看到在专用防火墙虚拟机后面设置有限的暂存或开发环境的部署,这样管理层就不必对他们所担心的事情过于紧张,但还有其他方法可以隔离虚拟机但仍然允许它们进行一些网络访问。