Рекомендации для сети

Рекомендации в общем случае следующие.

Разделяйте разные виды трафика  для повышения безопасности  и/или производительности. Разные  виды трафика  – это:

Q  управляющий трафик, то есть сеть Service Console для ESX или интерфейс

VMkernel   с  флажком  «management network».   Изоляция  управляющего трафика  весьма  важна  с точки  зрения безопасности, ибо компрометация ESX(i) означает компрометацию всех работающих на нем ВМ;

Q  трафик vMotion – более того, выделенная гигабитная  сеть (в смысле выде-

ленный гигабитный физический контроллер) под vMotion – это обязательное условие  для того, чтобы конфигурация была поддерживаемой. Плюс к тому трафик vMotion передается незашифрованным. Получается, что его перехват  потенциально дает доступ к содержимому  оперативной памяти  мигрируемой ВМ или возможность изменить  это содержимое;

Q  трафик  Fault  Tolerance.  Более  того, выделенная гигабитная  (или больше)

сеть под Fault Tolerance – это обязательное условие для того, чтобы конфи гурация была поддерживаемой;

Q  трафик систем хранения  – iSCSI/NFS;

Q  разумеется,  трафик  ВМ. Притом  деление может быть и среди них, так что если у вас есть группа ВМ, трафик  от которых может быть большим  или к безопасности  которого есть особые требования, имеет смысл подумать об изоляции их трафика.

Для  разделения трафика  используются VLAN или разграничение на уровне физических сетевых контроллеров. Последнее  является более рекомендуемым – когда сетевых контроллеров у нас достаточное количество.  Однако нередко сетевых контроллеров меньше, чем по два на каждую задачу, и очень часто разграни чение идет только по VLAN.

Разграничение на уровне сетевых контроллеров следует делать созданием отдельных виртуальных коммутаторов под разные задачи.

В любом случае нельзя пренебрегать  типичными для невиртуализированных систем средствами сетевой безопасности, такими как межсетевые экраны. Напом ню, что у VMware  есть собственное решение  с таким  функционалом – VMware  vShield Zones (http://www.vmware.com/products/vshield-zones/).

Источник: Михеев М. О.  Администрирование VMware vSphere 4.1. – М.: ДМК Пресс, 2011. – 448 с.: ил.

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий