Из любопытства было бы бессмысленно / расточительно / глупо ставить брандмауэр в качестве гостевой ВМ (независимо от хоста ВМ - ESX, Xen, Hyper-V и т. Д. И т. Д.) И перенаправлять весь трафик от других гостевых ВМ через брандмауэр ВМ гость?
Я не уверен, практикуют ли это другие люди / организации или нет. Я знаю, что ресурсы могут быть ограничены (ЦП, ОЗУ, дисковый / сетевой ввод-вывод) в ожидании любого проходящего трафика, но есть ли какие-либо другие сценарии или ситуации, когда размещение брандмауэра в качестве гостевой виртуальной машины и маршрутизация других гостевых виртуальных машин к нему скорее является лучше или сопоставимый на внешний ящик с хост-ВМ?
Что касается производительности, я понимаю, что использование ресурсов гостевой виртуальной машины повлияет на других гостей, но кроме этого, я что-то упускаю? Безопасность, лучшие практики, здравый смысл?
Любые мысли, комментарии или критика приветствуются.
Это очень распространенная конфигурация, которую часто называют «DMZ в коробке». Вот технический документ VMware в котором обсуждаются различные уровни разрушения DMZ с использованием виртуальной инфраструктуры.
VMware vSphere развивает некоторые из этих идей и расширяет их с помощью продукта под названием vShield Зоны