У меня довольно обычная настройка - хосты vSphere и ESXi, использующие FreeNAS в качестве хранилища виртуальных машин. Серверы могут видеть друг друга (очевидно), поэтому я хочу разделить трафик системного администратора и пользовательский трафик на разные VLAN и ограничить IP-адреса управления на обоих устройствах.
Настроить доступ к управлению на ESXi легко, но я не могу понять, как это сделать на FreeNAS. На данный момент соответствующая конфигурация FreeNAS заключается в том, что у него есть одна активная сетевая карта (10G Chelsio) с IP-адресом, скажем, 192.168.1.2, и в сети еще не настроены VLAN. Я бы хотел выполнить одно или несколько из следующих действий:
Создайте две VLAN, скажем 1 и 2, с любой VLAN, имеющей возможность доступа к службам совместного использования на портах совместного использования, но только VLAN 2 может получить доступ к IP-адресу / порту администратора
Создайте два IP-адреса на одной сетевой карте, скажем 192.168.1.2 и 192.168.1.3, и только 192.168.1.3 сможет получить доступ к управляющему логину.
Блокировка портов доступа к управлению (80 443 и т. Д.) Для VLAN! = 2 и / или IP! = 192.168.1.3.
Поскольку FreeNAS не является маршрутизатором или брандмауэром, он не имеет для этого много встроенных функций, поэтому я не уверен, как это сделать. Непосредственное подключение к общей локальной сети не может быть необычным, поэтому я надеюсь, что есть простой и полезный ответ на три вышеупомянутых подхода, поэтому я могу выбрать, какой из них лучше всего подходит для меня, и выяснить, как их объединить, если это полезно. .
VMware рекомендует использовать отдельные коммутаторы и порты для iSCSI SAN.
В приведенной выше ситуации у вас будет выделенный коммутатор iSCSI vSwitch с собственным восходящим каналом. Для обеспечения максимальной безопасности восходящий канал будет подключаться к выделенному управляемому коммутатору уровня 2, который также подключается к массиву FreeNAS. Если вы хотите запустить соединение iSCSI в выделенной VLAN, вы можете затем установить VLAN для FreeNAS и группы портов ESXi на коммутаторе.
FreeNAS не должен знать о VLAN, так как всю работу будет делать коммутатор.
Если FreeNAS запускается как виртуальная машина, которая автоматически запускается на устройстве ESXi, описанный выше сценарий будет таким же, как и с дополнительным этапом добавления сетевого адаптера iSCSI виртуальной машины в ту же группу портов, что и сетевой адаптер VMKernel.
Один из вариантов ответа, который в большинстве случаев вам нужен, - это хранение хранилища в одной VLAN. Рекомендуется хранить хранилище в выделенной VLAN. В больших средах он должен иметь выделенные коммутаторы, в основном из-за высокой пропускной способности хостинга хранилища. Это оставит вам по крайней мере три VLAN: пользовательские / общие, управление и хранилище. Вы можете разрешить администраторам хранить и управлять по желанию.
Что касается правил брандмауэра, я предполагал, что вы будете делать это через свой маршрутизатор, брандмауэр или коммутаторы ACL. Используя приведенные выше имена в качестве примеров, вы должны настроить свою пользовательскую VLAN на ограничение доступа к хранилищам или управляющим VLAN. Управляющей VLAN может быть разрешено связываться с VLAN хранилища в целях управления сервером FreeNAS.
Я предполагал, что у вас есть другое устройство для контроля доступа, поскольку заданный вами вопрос был направлен на настройку интерфейсов.
Чтобы дать более конкретную помощь, было бы здорово, если бы вы добавили, с каким оборудованием вы работаете для коммутаторов, маршрутизаторов или межсетевых экранов.