Один из моих клиентов хотел бы опубликовать свой HR-портал в Интернете. Это веб-сайт IIS, работающий на виртуальной машине в среде Hyper-V.
У этой компании один хост с двумя парными сетевыми адаптерами, подключенный к брандмауэру (Fortigate 60D).
Моя идея - создать новую виртуальную машину WS2012r2, включить и настроить роль прокси-сервера веб-приложения и поместить этот компьютер в DMZ.
Моя проблема проста: если я настрою vNIC этого компьютера, чтобы пометить его трафик определенным идентификатором VLAN, и я создам выделенный интерфейс на брандмауэре с тем же идентификатором, будут ли они разговаривать друг с другом? Хост должен быть подключен напрямую к межсетевому экрану? (сейчас VLAN не настроена). Должен ли я установить vswitch или достаточно одного vNIC?
Извините за мой английский.
Спасибо за ваше время.
С уважением. Мартино, всем привет.
Второй vSwitch будет изолирован не больше, чем использование vLAN. И то, и другое заставит хост Hyper-V изолировать трафик между вашей виртуальной машиной IIS и всем остальным. А второй vSwitch заставит вас разделить существующую команду NIC, что нежелательно.
Пока ваши промежуточные (физические) сетевые коммутаторы настроены на разрешение VLAN, ваш хост даже не должен быть подключен напрямую к брандмауэру.