Этот вопрос похож на: Корпус для блейд-серверов, несколько блейд-серверов, что ближе всего к DMZ?
В моем случае у меня нет виртуализации, поэтому я не могу использовать vLAN, как было предложено в ответах на вопрос выше.
Так что у меня несколько лезвий в одном шасси. Некоторые из лезвий должны быть частью DMZ, а некоторые должны находиться во внутренней сети (за DMZ).
Есть ли проблема безопасности, поскольку все лезвия соединены между собой через шасси? Должен ли я запустить брандмауэр на каждом блейд-сервере, чтобы ограничить доступ к внутренней сети шасси?
Я буду использовать блейд-серверы HP под управлением Linux.
Виртуализация не является обязательным условием для использования VLAN, вам просто нужна поддержка коммутатора для VLAN, которая почти наверняка будет в вашей блейд-системе HP.
В большинстве случаев вы можете настроить внутренний коммутатор, к которому подключаются сетевые интерфейсы каждого блейд-сервера, на основе порта за портом и VLAN в этот момент, обеспечивая необходимое разделение.
Я не использовал блейд-решение HP, но у меня была аналогичная проблема, которую мне нужно было решить, используя шасси IBM S с несколькими блейд-модулями DMZ в невиртуализированной установке.
Обычно вы настраиваете VLAN с тегированием / транкингом и (вероятно) LACP для обеспечения избыточности между вашими восходящими линиями между модулем коммутатора шасси и вашими реальными коммутаторами в сети, но я чувствовал, что с несколькими блейд-модулями, которые у меня были (3), и Для упрощенной сети, которую я настраивал, я пропустил транкинг VLAN и вместо этого обработал пары портов модуля лезвия / коммутатора как интерфейсы хост / сервер (см. ниже) и подключил их к нетегированной собственной VLAN - либо "доверенной", либо "DMZ" «VLAN вместе с соответствующим интерфейсом межсетевого экрана - на одном управляемом коммутаторе, который у меня был для проекта.
Я обнаружил, что с помощью анализа пакетов в интерфейсе Advanced Management Module (блок «управления и контроля» основного шасси) я мог видеть много (проксируемого) ARP-болтовни из внутренней сети шасси (от различных модулей ввода-вывода), но из операционной системы / сетевого стека (Linux), установленного на голом железе на самом блейд-сервере, я не мог «видеть» ни один из хостов без DMZ из DMZ, потому что я назначил каждый физический интерфейс на блейд-коммутаторе модуль в изолированную группу, которая, в свою очередь, была назначена блейд-серверу, эффективно устанавливая соотношение 1: 1 между портами модуля коммутатора и логическими интерфейсами на блейд-сервере, то есть на модуле коммутатора порт 1 назначается группе 1, которая назначается к клинку 1; порту 2 назначена группа 2, которая назначена блейд-серверу 2, и так далее.
Что касается общего хранилища, я снова сделал нечто подобное с комбинацией зонирования (сопоставление портов ввода-вывода между блейд-серверами и хранилищем; это определяет, к каким жестким дискам блейд-серверы имеют доступ), пулы RAID и тома. (блочное устройство, которое вы разбиваете / форматируете / монтируете в своей ОС).
Как только вы поймете, что блейд-шасси представляет собой просто более аккуратную / более эффективную архитектуру аппаратного ввода-вывода, логические действия, выполняемые вами в хранилище или сетевой конфигурации, по сути совпадают с физическим эквивалентом.