Мне нужно ограничить доступ нескольких виртуальных машин к локальной сети в моем vCenter, чтобы они не могли получить доступ к другим ресурсам локальной сети, за исключением нескольких мест. Единственное, что приходит в голову atm - создать отдельный vswitch и назначить на него эти ВМ, пусть даже с выделенным физическим портом.
Есть ли другие варианты, которые я могу использовать?
Эквивалентом виртуальных локальных сетей в физических коммутаторах являются группы портов в vSphere. Создайте новую группу портов без физических сетевых адаптеров для ваших изолированных виртуальных машин, и они смогут взаимодействовать только друг с другом.
Если вы хотите, чтобы группа портов взаимодействовала с реальным миром, добавьте физический сетевой адаптер и соответствующую маркировку VLAN, чтобы группа портов могла взаимодействовать с этой конкретной VLAN.
Вы также можете использовать виртуальную машину для маршрутизации / фильтрации трафика для вашей чисто виртуальной группы портов, подключив один сетевой адаптер к внутренней группе портов, а другой - к группе портов с возможностью подключения к VLAN. Очевидно, что эта виртуальная машина должна запускать какое-то программное обеспечение маршрутизации / брандмауэра или прокси.
Я не уверен, что вы пытаетесь сделать. Я понимаю это так: у вас есть виртуальная машина A в VLAN X и виртуальная машина B в VLAN X, и вы хотите ограничить доступ к сети между ними, верно? Что ж, если они находятся в одной VLAN, ESXi ничего не может сделать, чтобы остановить связь. Различные виртуальные коммутаторы не помогут: виртуальная машина A -> vSwitch A -> физическая сеть -> vSwitch B -> виртуальная машина B. По сути, это то, что означает нахождение в одной и той же VLAN: машины могут обращаться друг к другу напрямую.
Вероятно, лучший способ сделать это в гипервизоре NSX но это дорогостоящий вариант. В качестве альтернативы вы можете поместить виртуальные машины в разные VLAN и установить между ними брандмауэр. Или вы можете использовать Частные сети VLAN и списки ACL на ваших физических коммутаторах для ограничения сетевого трафика.
Если вам нужно изолировать эти виртуальные машины от доступа к локальной сети, описанный вами один из способов сделать это: виртуальные машины не могут быть подключены к какому-либо vswitch, подключенному к любому физическому порту, подключенному к локальной сети.
Я не знаю, каковы ваши требования, но я видел развертывания, в которых ограниченная промежуточная среда или среда разработки была настроена за выделенной виртуальной машиной брандмауэра, так что руководству не приходилось слишком нервничать из-за того, о чем они беспокоились, но есть другие способы изолировать виртуальные машины, но при этом разрешить им некоторый доступ к сети.