У меня есть сетевая карта с четырьмя портами в Vmware ESXi 5.5, и каждый порт nic имеет эквивалентное ядро vmkernel с уникальным IP-адресом / подсетью (vmkernel1, 2, 3 и 4). если в случае, если одна из моих виртуальных машин, назначенных vmkernel1, взломана каким-то хакером, означает ли это, что остальные мои виртуальные машины, назначенные другим vmkernel, также будут автоматически скомпрометированы, даже если подсети разные? Я предполагаю, что виртуальные машины из vmkernel1 не должны иметь возможность пинговать виртуальные машины из vmkernel2..etc. Любой совет? Спасибо.
Вы не подключаете виртуальные машины к портам VMkernel, вы подключаете их к группам портов виртуальных машин.
Назначение IP-адреса порта VMkernel не имеет ничего общего с назначением IP-адреса ваших виртуальных машин. Порты VMkernel предназначены для таких вещей, как административный доступ к хосту, vMotion, iSCSI и т. Д. Они не связаны с обменом данными между виртуальными машинами.
Виртуальные машины, подключенные к разным vSwitches, не могут взаимодействовать друг с другом, кроме как через физическую сеть.
Если вам нужно обеспечить изоляцию между виртуальными машинами, подключенными к разным vSwitches, попробуйте использовать VLAN на своем физическом коммутаторе.
Кто-то, получивший несанкционированный доступ к виртуальной машине, подключенной к одному vSwitch, не предлагает автоматически доступ к виртуальным машинам, подключенным к другим vSwitch, но вы, вероятно, должны предположить, что если они могут получить доступ к одной виртуальной машине, они, вероятно, смогут получить доступ к другим вашим виртуальным машинам.
Я думаю, вы путаете vswitches с интерфейсами vmkernel.
Чтобы изолировать сетевые адаптеры, вам понадобится один vswitch и одна группа портов (для подключения виртуальной машины) для каждой отдельной подсети / ник.
Вам нужны только интерфейсы vmkernel в сетях, о которых вы хотите, чтобы vsphere говорила для управления, одного может быть достаточно. Они вам не нужны в сетях, из которых вы не будете управлять.