Архитектура сети виртуальных машин, изоляция публичных и частных сетей
Я ищу некоторое представление о лучших практиках изоляции сетевого трафика в виртуальной среде, особенно в рамках VMWARE ESXi.
В настоящее время у меня (в тестировании) 1 аппаратный сервер под управлением ESXi, но я собираюсь расширить его до нескольких единиц оборудования.
Текущая настройка выглядит следующим образом:
1 виртуальная машина, эта виртуальная машина принимает весь внешний (WAN/ Интернет) трафик и выполняет функции межсетевого экрана / переадресации портов /NAT. У меня есть несколько общедоступных IP-адресов, отправленных на эту виртуальную машину, которые используются для доступа к отдельным серверам (через правила переадресации входящих IP-портов). Эта виртуальная машина подключена к частной (виртуальной) сети, в которой находятся все остальные виртуальные машины. Он также управляет связью VPN в частной сети с некоторыми ограничениями доступа. Это не брандмауэр периметра, а брандмауэр только для этого виртуального пула.
У меня есть 3 виртуальные машины, которые общаются друг с другом, а также имеют некоторые требования к общедоступному доступу:
1 сервер LAMP с сайтом электронной коммерции, общедоступный интернет
1 учетный сервер, доступ через службы Windows Server 2008 RDS для удаленного доступа пользователей
1 сервер управления запасами / складом, VPN к клиентским терминалам на складах
Эти серверы постоянно общаются друг с другом для синхронизации данных.
В настоящее время все серверы находятся в одной подсети / виртуальной сети и подключены к Интернету через виртуальную машину pfsense. Брандмауэр pfsense использует переадресацию портов и NAT для обеспечения внешнего доступа к серверам для служб и для доступа серверов к Интернету.
Мой главный вопрос заключается в следующем:
Есть ли преимущество с точки зрения безопасности при добавлении второго виртуального сетевого адаптера на каждый сервер и управлении трафиком таким образом, чтобы все взаимодействие сервера с сервером осуществлялось в одной отдельной виртуальной сети, а любой доступ к внешнему миру маршрутизируется через другой сетевой адаптер через брандмауэр и в интернете.
Это тип архитектуры, который я бы использовал, если бы это были все физические серверы, но я не уверен, что виртуальные сети изменят способ, которым я должен подходить к блокировке этой системы.
Спасибо за любые мысли или указания на любую соответствующую литературу.
4 ответа
Ваша текущая конфигурация в порядке. Данные частного коммутатора доступны только любой из подключенных к нему машин. У вас ограниченный доступ, поэтому вы должны быть в безопасности. Если бы вы делали что-нибудь, вы могли бы добавить второй NIC к PF мыслу к отдельному частному vSwitch, чтобы в основном иметь DMZ, но это не обязательно и немного излишне. Ваш пробег может варьироваться..
Хотя ваша текущая конфигурация выглядит нормально, я предлагаю добавить еще один сетевой адаптер, чтобы избежать увеличения пропускной способности в будущем.
Только если вы видите преимущества в разделении трафика между серверами и клиентским доступом, в противном случае у вас уже есть "частная"/"защищенная" сеть с вашим текущим соглашением.
Разделив трафик виртуальных машин, вы также можете получить выгоду, не задушив ни одну сеть.