В ближайшем будущем моя фирма начнет размещать системы служб терминалов для нескольких бизнес-клиентов. Серверы служб терминалов будут виртуальными машинами на одном из двух больших хостов виртуальных машин.
Чтобы обеспечить безопасный доступ, мы будем настраивать VPN типа «сеть-сеть» между нашей сетью и клиентом. Однако клиент должен иметь доступ только к своим виртуальным машинам, а не к машинам в нашей локальной сети.
Лучшая идея, которая у меня была до сих пор, - это настроить физический коммутатор для каждого клиента. Наш VPN-маршрутизатор направит трафик каждого клиента на другой порт, и этот порт будет подключен к их коммутатору. Этот коммутатор будет подключен к физическим сетевым адаптерам на каждом хосте виртуальной машины. Каждая виртуальная машина будет связана с физической сетевой картой, связанной с клиентом, использующим виртуальную машину.
Хотя я думаю, что это сработает, это кажется слишком сложным и трудно масштабируемым. Кто-нибудь может предложить лучшее решение?
Раньше я задавал похожий (но другой) вопрос, его можно найти здесь: Можно ли связать дискретные сети VPN?
Мне это не кажется слишком сложным, и хотя я мало работаю с виртуализацией, я подозреваю, что ваш план является довольно распространенным сценарием для компаний, которые размещают ИТ-инфраструктуру для независимых, разрозненных клиентов. Я бы рекомендовал использовать VLAN на одном коммутаторе вместо использования выделенных коммутаторов, чтобы снизить затраты на инфраструктуру.
Возможно, вы захотите запустить виртуальный маршрутизатор и виртуальные коммутаторы на своем хосте vm. Взгляните на эту Вятту демонстрация виртуализации чтобы понять, как это сделать.