Как сделать так, чтобы более 200 виртуальных машин не видели друг друга но может выходить в Интернет и на общий сервер?
Эти виртуальные машины находятся на нескольких машинах ESXi.
Кажется неправильным иметь подсеть 1-1 для каждой виртуальной машины.
Вы наверняка ищете то, что называется Частные сети VLAN которые позволяют хостам общаться, но не друг с другом на уровне Layer2.
Единственный способ, которым я могу это сделать, - использовать одну из VMWare "Приложение vShield" или "Приложение vShield с защитой данных"продукты, это то, что они предлагают себе для такого сценария.
Проблема с созданием VLAN или Private VLAN для каждого клиента / виртуальной машины заключается в том, что вам придется создать ее на коммутаторе, а затем либо на каждом vswitch на каждом хосте, либо с использованием распределенных коммутаторов (как уже упоминалось, вам нужна очень дорогая лицензия Ent + для этого. ). Используя инструменты vShield, вы сможете использовать одну большую VLAN, но при этом связать конкретный клиент / виртуальную машину / виртуальные машины вместе - как я уже сказал, это именно та проблема, для решения которой было написано программное обеспечение.
Правила программного брандмауэра, запрещающие весь трафик, кроме входящего / исходящего от шлюза.
Я не знаю, как написать это для 200 пользователей в Linux (или даже что это за сценарий, я предполагаю что-то с iptables), но в Windows это правило можно развернуть с помощью групповой политики.
Это могло бы кажется неправильно, но мне кажется, что это правильное решение. В принципе, да, фильтрация на уровне Ethernet (то есть, когда вы к ней дойдете, то, что вы пытаетесь сделать с частными VLAN) может привести вас туда, где вы хотите быть, но она действительно сбивает с толку который ожидает иметь возможность общаться напрямую - скажем, виртуальная машина, которая оказывается в той же «подсети», что и та, с которой она (законно) хочет общаться (я мог бы захотеть wget tarball с сайта, который размещен на другой виртуальной машине).
Поскольку частная VLAN является протоколом конструктора (Cisco), вам потребуется специальный коммутатор Cisco с соответствующей лицензией для использования частной VLAN. Более простое решение - использовать ebtables в качестве межсетевого экрана моста, если у вас еще нет больших коммутаторов. http://ebtables.sourceforge.net/