Только что купил ASA 5505 и отдельный гигабитный коммутатор, а также сервер виртуализации Dell R610 для замены существующего веб-сервера без операционной системы.
Будет 2 физических машины, R610 с ESXi 4.1 и сервер резервного копирования (старый SC 1435).
R610 имеет 2 двухпортовых сетевых адаптера, все они будут подключены к коммутатору, как и сервер резервного копирования, и коммутатор будет подключен к ASA, поэтому:
восходящий канал >> ASA >> коммутатор >> 2 сервера
Что меня смущает, так это то, что мне делать с 30 IP-блоком, который у меня есть.
Инженер центра обработки данных, который будет выполнять настройку ASA, предложил:
****************
66.xxx.47.96/27
Network: 66.xxx.47.96
Gateway: 66.xxx.47.97
Firewall: 66.xxx.47.98
Switch: 66.xxx.47.99
Name Server 1: 66.xxx.47.100
Name Server 2: 66.xxx.47.101
Backup Server: 66.xxx.47.102
First Usable for production server: 66.xxx.47.103
Last Usable for production server: 66.xxx.47.126
Broadcast: 66.xxx.47.127
****************
Я думаю, что для сервера ESXi порт NIC1 port1 будет для диспетчера консоли; NIC1 port2 для виртуальных машин разработки; NIC2 port1 для производственных виртуальных машин LAMP (то есть существующего веб-сервера без операционной системы) и NIC2 port2 для виртуальных машин Rails / Grails
Текущий веб-сервер использует только 6 IP-адресов, поэтому, очевидно, у меня есть некоторая гибкость.
Я просто не хочу загонять себя в угол, как бы вы назначили IP-адреса .103 ~ .126 для портов ESXi 4 NIC ?? Кроме того, если серверы имен находятся за пределами диапазона прослушивания ESXi, как DNS-запросы будут направляться на целевую виртуальную машину на ESXi?
Идеи очень ценятся ...
Спасибо!
С какой стати вы размещаете свои переключатели и т. Д. В общедоступном Интернете? Это пахнет безумием.
Я настоятельно рекомендую вам иметь две сети VLAN - одну для вашего внутреннего трафика (например, 192.168.x.x), а затем DMZ для вашего общедоступного трафика (диапазон 66.x.47.x).
С точки зрения безопасности нет смысла размещать резервные серверы и коммутатор в общедоступной сети. Это просто напрашивается на неприятности.
ESXi поддерживает тегирование VLAN для vNIC, поэтому не должно быть проблем просто назначить два vNIC вашим виртуальным машинам и иметь один в частной сети, а другой в общедоступной. Затем просто назначьте свои общедоступные IP-адреса виртуальным машинам, которым они нужны.
В конце дня вам захочется что-то вроде этого:
(источник: stackoverflow.com)
Что касается запросов, о которых ESXi не знает, то они будут маршрутизироваться через ваш шлюз по умолчанию, как обычно. Ваш шлюз должен быть достаточно умен, чтобы знать, что эти IP-адреса находятся в его собственной сети (правильно настроенный Cisco ASA очень умен), чтобы он направил их обратно к вам (предпочтительно в vLAN с общедоступными IP-адресами). Это не отличается от любой другой сети и не относится только к ESXi.