Назад | Перейти на главную страницу

Простая сеть ESXi

Я занимаюсь обновлением своей сети с использованием ESXi. Структура моей сети раньше была следующей:

Public -> Win 2008 R2 Server NIC#1
          ADDS/DNS/DHCP/RRAS NIC#2 -> Physical Switch (LAN)

Эта установка предоставила всем моим сетевым клиентам маршрутизацию и Интернет ... Я решил немного более серьезно отнестись к своей сети и обновить и установить ESXi вместо Win 2008 R2, и я хотел иметь несколько клиентов Win 2012, чтобы разделить задания на сервер делал раньше.

В моем распоряжении 2 NIC (при необходимости могу купить еще один), но сейчас я не могу осмыслить сетевой аспект.

Win 2008 R2 выполняла всю маршрутизацию раньше, но если я подключу хост ESXi к новой виртуальной машине Windows 2012 (которая обрабатывает маршрутизацию по локальной сети), и эта виртуальная машина выйдет из строя, я потеряю доступ к хосту ESXi. В то же время я не хочу использовать аппаратный маршрутизатор, потому что мне раньше нравилась топология моей сети, когда весь трафик проходил через Windows Server, который также работал как межсетевой экран.

Как мне подойти к этой проблеме?

Ваш дизайн ошибочен, и, как другие говорили в комментариях, вам, скорее всего, понадобится отдельное оборудование для выполнения этой работы, будь то выделенный брандмауэр / маршрутизатор (например, SonicWall, Cisco, Juniper) или программное обеспечение (например, pfSense, IPCop , IPFire).

Тогда ваша сеть будет выглядеть так:

Public <--> Router <--> Physical Switch <--> ESXi Host <--> Windows 2008 Server
                              |                 |
                              |                 +<--------> Other VMs
                              |
                              +<------------> Other LAN devices

Обычно так устроено в большинстве корпоративных сред - у вас есть выделенное (и в идеале HA / избыточное) оборудование для обработки вашей NAT-маршрутизации.

Причина использования отдельного оборудования заключается в том, что, как вы уже заметили, если ваш маршрутизатор работает на том же оборудовании, что и ваш хост ESXi, и вы теряете виртуальную машину (или даже хост), вы также теряете маршрутизацию (вместе с любой другой службой, размещенной на ВМ / хост - DNS / DHCP и т. д.)

Также есть вектор атаки и угол эффективности использования ресурсов - достаточно ли вы уверены, что Windows находится в вашей пограничной (общедоступной) сети? Обычно (я знаю, что это субъективно) полноценная операционная система имеет более высокий вектор атаки, чем специализированное устройство.

Выделенные устройства были разработаны с нуля, чтобы выполнять эту работу, и поэтому имеют невероятно урезанную ОС (как уже отмечалось, даже специализированные устройства имеют ОС определенного описания).

Низкий уровень: приобретите специальный межсетевой экран; в долгосрочной перспективе вы избавите себя от многих головных / душевных болей.