我正在引入一个 NFS 服务器,我想与不同 VLAN 上的 KVM 客户机共享该服务器。我正在尝试寻找一种能够在功能、可维护性、可观察性和安全性之间取得良好平衡的解决方案。在这种情况下,我有三个 KVM 主机,配置如下:
- 为 KVM 主机上的物理 NIC 创建绑定(每个 4x 1GB)
- 为所有 KVM 主机上的每个 VLAN 创建接口“vlanX”
- 为每个“vlanX”接口创建桥“brX”。
- 所有机器都连接到同一交换机(第 2 层)
- 路由器有一个单个 GB 链路来交换中继所有 VLAN。
根据主机名确定 VLAN 成员身份:
KVM1-Host: br10
KVM1-Guests: br20, br30, br40
KVM2-Host: br10
KVM2-Guests: br20, br30, br40
KVM3-Host: br10
KVM3-Guests: br20, br30, br40
基于 VLAN 的主机成员身份:
VLAN10: KVM1-Host, KVM2-Host, KVM3-Host
VLAN20: KVM1-Guests, KVM2-Guests, KVM3-Guests
VLAN30: KVM1-Guests, KVM2-Guests, KVM3-Guests
VLAN40: KVM1-Guests, KVM2-Guests, KVM3-Guests
我对 NAS 放置位置的想法是:
- 将 NAS 置于 VLAN10 上
- 对于将 NAS 放在主机管理 VLAN 上,我其实并不感到兴奋。
- 为 NAS 创建单独的 VLAN
- 这似乎是隔离资源的一种简单方法 - 现有的监控可以轻松观察资源使用情况 - 但是 - 这需要每个 VLAN 之间的路由开销。
- 将 NAS 添加到 VLAN 20、30、40
- 客人可以与同一 VLAN 上的 nas 进行通信 - 网络开销更少?我想我应该通过测试来验证这个假设。
- 2 和 3 的组合。
- NAS 可由 VLANX 上的 VLAN20、30、40 中以外的资源访问
- 客人可以在自己的 VLAN 上与 NAS 进行通信。
请告诉我你的想法!由于我有编程/开发背景,我仍在这个领域磨练自己。
答案1
我并不是这个领域的专家,但我知道使用多个接口将 NAS 直接连接到多个 VLAN 是业内常有的事(感谢 Lawrence Systems 在 YouTube 上偶尔提及)。如果您选择这种方式,您可以使用 NAS 防火墙和/或监听地址以特定于 VLAN 的方式控制对 NAS 的访问。
不过,我有点偏向于将 NAS 放在自己的 VLAN 中。这样,您就能够在网络上(而不仅仅是 NAS 本身)设置防火墙,而且我还没有看到 VLAN 间路由成为一个大问题(主要是因为缺乏经验)。但是,我不知道这是否是业内常见的方法。