У меня есть сервер с достаточным объемом памяти, а также единственный статический IP-адрес. Я хочу установить XenServer или ESXi на свой сервер и создать кучу виртуальных машин. Чтобы использовать все эти виртуальные машины из внешнего мира, я хочу направить всю сетевую активность XenServer (или ESXi) на одну из виртуальных машин, чтобы с помощью iptables я мог настроить сетевой трафик для всех других виртуальных машин.
Возможно ли это, и это лучшая практика для этого сценария?
Да, вы можете сделать это легко, на самом деле существует множество предварительно созданных виртуальных машин, чтобы сделать именно это, и я бы рекомендовал одну из них - pfsense.
В итоге вы создаете один vSwitch с двумя группами портов, маршрутизатор получает vNIC в обоих PG, один идет во внешний мир, а один - во внутреннюю группу портов (если у вас есть два физических NIC, может быть безопаснее иметь два vSwitch, по одному PG на vSwitch, было бы безопаснее). Затем клиенты общаются только с внутренним P-G и NAT маршрутизатора или с чем-то еще между обеими сетями.
Является ли это возможным? Абсолютно.
Это лучшая практика? Нет, не совсем. Я могу сказать вам по собственному опыту, что терять маршрутизированный доступ управления к хосту, когда его виртуальные машины не работают, - не очень весело.