Я нахожусь в процессе настройки частной сети, которая использует систему шлюза для доступа к определенным службам в системах за сетью, например ssh, ftp. У меня есть некоторый опыт использования виртуализированной инфраструктуры, но я хочу убедиться, что использую передовые методы настройки среды.
Внутри частной сети будет работать множество служб, таких как DHCP, DNS, LDAP и т. Д., Которые должны быть более или менее невидимы для систем на другой стороне шлюза; однако будут некоторые службы, такие как веб-сервер, загрузка файлов, которым может потребоваться доступ к обеим сетям.
Я потратил некоторое время на разработку дизайна и компоновки межсетевого экрана с внутренней зоной, внешней зоной и DMZ; выяснили, какие службы должны быть доступны в различных зонах, и начали составлять списки ACL для систем. Мой план состоял в том, чтобы виртуализировать многие службы и запускать их внутри LXC или контейнеры Docker (в настоящее время использующие LXC, но могут переключиться на Docker, если для этого есть веские аргументы).
Работая над настройкой систем, я использовал один гипервизор для установки и настройки контейнеров, после чего их можно было переместить в соответствующее хранилище. Поскольку я приближаюсь к производственному статусу (другим людям будет предоставлена возможность использовать мою сеть), у меня возникло несколько вопросов / проблем безопасности.
Мы будем очень благодарны за вклад любого, кто прошел через процесс виртуализации физической инфраструктуры таким образом. В частности, дает ли повышенная сложность управления гипервизорами в дополнение к сетевым службам достаточно преимуществ с точки зрения надежности и масштабируемости, чтобы оправдать дополнительные усилия?