在不久的将来,我的公司将开始为一些企业客户提供终端服务系统。终端服务服务器将是两台大型 VM 主机之一上的 VM。
为了提供安全访问,我们将在我们的网络和客户之间设置站点到站点 VPN。但是,客户只能访问他们的虚拟机,而不能访问我们 LAN 上的机器。
到目前为止,我想到最好的办法是为每个客户设置一个物理交换机。我们的 VPN 路由器会将每个客户的流量放到不同的端口上,然后该端口将连接到他们的交换机。该交换机将连接到每个 VM 主机上的物理 NIC。每个虚拟机都将与使用该 VM 的客户关联的物理 NIC 进行桥接。
虽然我认为这可行,但它似乎过于复杂且难以扩展。有人能提出更好的解决方案吗?
我之前问过类似(但不同)的问题,可以在这里找到: 是否可以链接离散的 VPN 网络?
答案1
对我来说这听起来并不太复杂,尽管我很少从事虚拟化工作,但我怀疑您的计划对于为独立、分散的客户托管 IT 基础设施的公司来说是一种相当常见的情况。我建议在单个交换机上使用 VLAN,而不是使用专用交换机,以降低您的基础设施成本。
答案2
您可能需要考虑在虚拟机主机上运行虚拟路由器和虚拟交换机。看看这个 Vyatta虚拟化演示了解如何做到这一点。