У меня есть 2 сервера rx300 с Esxi, и я хочу использовать один из них в качестве виртуального веб-сервера с двумя запущенными виртуальными машинами:
- Почтовый сервер
- WEB-сервер для корпоративного сайта и электронной коммерции.
сервер esxi имеет конфигурацию iscsi с SAN, до сих пор все находится в той же LAN, что и остальная часть предприятия (физически подключена к центральному коммутатору LAN). У меня есть маршрутизатор / брандмауэр с портом DMZ и конфигурацией DMZ.
У меня вопрос:
Я вынужден поместить ВСЕ Esxi + SAN в DMZ, физически подключив Esxi + SAN к новому коммутатору, подключенному к порту DMZ брандмауэра? Или я могу оставить Esx + SAN подключенным к коммутатору на стороне локальной сети и выполнить некоторую конфигурацию безопасности на брандмауэре, чтобы получить тот же уровень безопасности?
Что лучше всего в этом случае?
В будущем я захочу использовать этот сервер Esxi также для запуска приложения виртуальной машины для стороны LAN.
Можно ли сделать смешанную инфраструктуру?
В идеале вы хотите, чтобы трафик вашего хранилища был в полностью выделенной / изолированной сети. Трафик хранилища может быть весьма чувствительным как с точки зрения конфиденциальности, так и с точки зрения производительности, поэтому всегда полезно отделить его от остального трафика.
Также сеть управления и общедоступная сеть должны быть разделены для повышения безопасности и производительности (например, вы не захотите отключать общедоступную сетевую карту gbit при vmotion-ing).
Итак, мое предложение было бы:
Отдельный коммутатор / сетевые адаптеры для трафика хранилища.
Отдельные устройства для трафика LAN и управления.
И отдельные ник (ы) для публичного трафика.
Для общедоступного и локального трафика вы можете использовать один и тот же управляемый коммутатор и разделить трафик с помощью виртуальных локальных сетей. Хотя лучше всего использовать отдельные свитчи для каждого типа трафика.
Чтобы пояснить, я не имею в виду использовать одну физическую сетевую карту для передачи трафика управления и локальной сети, а скорее, это несколько сетевых адаптеров, подключенных к одному коммутатору на разных портах VLAN (доступа).