将虚拟机存储暴露在与虚拟机和管理程序相同的子网上的后果

将虚拟机存储暴露在与虚拟机和管理程序相同的子网上的后果

我最近购买了一个 RAID 阵列来存储我的虚拟机并将存储与主机分离。

由于我的需求非常简单,我已将虚拟机配置为与主机网络桥接(我认为他们称之为“虚拟机网络”)。

我的阵列也在主机网络上分配了一个地址。

我几乎肯定最佳做法是将主机网络与存储网络分开,但出于好奇,将存储与虚拟机管理程序及其虚拟机放在同一子网上有多“糟糕”?

如果虚拟机尝试访问阵列上自己的 HD 文件,可能会引发哪些问题?例如,如果我登录虚拟机、安装虚拟机自己的 NFS 共享并尝试删除操作系统文件,会发生什么情况?

答案1

嗯,其中一些是特定于虚拟机管理程序的。假设您正在使用 esxi(因为标签)和您的存储协议,这不是很糟糕,但也不是很好。

有点像将您的应用程序安装到 C:。

有几个缺点:

  1. 可扩展性(路由\交换) - 您的适配器上要么有多个子网(因此您要么在虚拟机管理程序内部进行路由(还不错),要么离开虚拟机管理程序到您的网络来路由数据包(不好)
  2. 可扩展性(管理) - 配置将会变得疯狂。请记住虚拟机无法通过 NFS 访问其文件,仅有的*虚拟机管理程序应该!为每种类型的连接提供自己的子网(管理、存储、VM 到生产 LAN 等)是很好的(从人类可读的角度来看)。
  3. 安全性 - 无法访问的内容不会被黑客入侵。如果您是学校或知名网站,拥有用于存储/备份/管理的后端网络将是天赐之物。
  4. 性能 - 以太网通道/中继中的 10 个 1G NIC != 1 个 10G NIC 带宽。TCP 每个会话仅使用一个 NIC。因此,如果您的 ESXi 盒有 10.0.0.1,NFS 服务器是 10.1.1.1,并且您有无数个绑定的 1G 卡,那么这两个 IP 之间的最大带宽仍然为 1G。如果您还与您的虚拟机共享该 NIC 以进行 LAN 流量、管理流量等,那就不好了。

    • 以及备份和复制和管理系统

最后,例如,如果我登录虚拟机、挂载虚拟机自己的 NFS 共享并尝试删除操作系统文件,会发生什么情况?对于大多数虚拟机,您都无法执行此操作。使用 ESX(i),您的 NFS 存储包含 VMDK 文件,这些文件本质上是硬盘内容的二进制副本。您可以做一些令人讨厌的事情(或者非常酷的事情),但您可能希望首先熟悉一些基本的东西。我们在这里经常做的事情之一是快照我们的虚拟机,然后将快照复制到另一个存储设备。如果用户需要文件级恢复,实际上可以从 Linux 机器挂载 .VMDK 文件并将文件复制出来,但您始终希望以只读方式执行此操作。

相关内容