Архитектура сети виртуальных машин, изоляция публичных и частных сетей

Я ищу некоторое представление о лучших практиках изоляции сетевого трафика в виртуальной среде, особенно в рамках VMWARE ESXi.

В настоящее время у меня (в тестировании) 1 аппаратный сервер под управлением ESXi, но я собираюсь расширить его до нескольких единиц оборудования.

Текущая настройка выглядит следующим образом:

1 виртуальная машина, эта виртуальная машина принимает весь внешний (WAN/ Интернет) трафик и выполняет функции межсетевого экрана / переадресации портов /NAT. У меня есть несколько общедоступных IP-адресов, отправленных на эту виртуальную машину, которые используются для доступа к отдельным серверам (через правила переадресации входящих IP-портов). Эта виртуальная машина подключена к частной (виртуальной) сети, в которой находятся все остальные виртуальные машины. Он также управляет связью VPN в частной сети с некоторыми ограничениями доступа. Это не брандмауэр периметра, а брандмауэр только для этого виртуального пула.

У меня есть 3 виртуальные машины, которые общаются друг с другом, а также имеют некоторые требования к общедоступному доступу:

1 сервер LAMP с сайтом электронной коммерции, общедоступный интернет

1 учетный сервер, доступ через службы Windows Server 2008 RDS для удаленного доступа пользователей

1 сервер управления запасами / складом, VPN к клиентским терминалам на складах

Эти серверы постоянно общаются друг с другом для синхронизации данных.

В настоящее время все серверы находятся в одной подсети / виртуальной сети и подключены к Интернету через виртуальную машину pfsense. Брандмауэр pfsense использует переадресацию портов и NAT для обеспечения внешнего доступа к серверам для служб и для доступа серверов к Интернету.

Мой главный вопрос заключается в следующем:

Есть ли преимущество с точки зрения безопасности при добавлении второго виртуального сетевого адаптера на каждый сервер и управлении трафиком таким образом, чтобы все взаимодействие сервера с сервером осуществлялось в одной отдельной виртуальной сети, а любой доступ к внешнему миру маршрутизируется через другой сетевой адаптер через брандмауэр и в интернете.

Это тип архитектуры, который я бы использовал, если бы это были все физические серверы, но я не уверен, что виртуальные сети изменят способ, которым я должен подходить к блокировке этой системы.

Спасибо за любые мысли или указания на любую соответствующую литературу.

4 ответа

Ваша текущая конфигурация в порядке. Данные частного коммутатора доступны только любой из подключенных к нему машин. У вас ограниченный доступ, поэтому вы должны быть в безопасности. Если бы вы делали что-нибудь, вы могли бы добавить второй NIC к PF мыслу к отдельному частному vSwitch, чтобы в основном иметь DMZ, но это не обязательно и немного излишне. Ваш пробег может варьироваться..

Хотя ваша текущая конфигурация выглядит нормально, я предлагаю добавить еще один сетевой адаптер, чтобы избежать увеличения пропускной способности в будущем.

Только если вы видите преимущества в разделении трафика между серверами и клиентским доступом, в противном случае у вас уже есть "частная"/"защищенная" сеть с вашим текущим соглашением.

Разделив трафик виртуальных машин, вы также можете получить выгоду, не задушив ни одну сеть.

Другие вопросы по тегам