Рекомендації для мережі

Рекомендації в загальному випадку наступні

Розділяйте різні види трафіку для підвищення безпеки і / або продуктивності Різні види трафіку – це:

Q керуючий трафік, тобто мережа Service Console для ESX або інтерфейс

VMkernel з прапорцем «management network» Ізоляція керуючого трафіку вельми важлива з точки зору безпеки, бо компрометація ESX (i) означає компрометацію всіх працюючих на ньому ВМ

Q трафік vMotion – більше того, виділена гігабітна мережу (в сенсі виді-

ленний гігабітний фізичний контролер) під vMotion – це обовязкова умова для того, щоб конфігурація була підтримуваної Плюс до того трафік vMotion передається незашифрованим Виходить, що його перехоплення потенційно дає доступ до вмісту оперативної памяті мігріруемой ВМ або можливість змінити це вміст

Q трафік Fault Tolerance Більш того, виділена гігабітна (або більше)

мережу під Fault Tolerance – це обовязкова умова для того, щоб конфі гурація була підтримуваної

Q трафік систем зберігання – iSCSI / NFS

Q зрозуміло, трафік ВМ Притому розподіл може бути і серед них, так що якщо у вас є група ВМ, трафік від яких може бути великим або до безпеки якого є особливі вимоги, має сенс подумати про ізоляцію їх трафіку

Для поділу трафіку використовуються VLAN або розмежування на рівні фізичних мережевих контролерів Останнє є більш рекомендованим – коли мережевих контролерів у нас достатня кількість Однак нерідко мережевих контролерів менше, ніж по два на кожну задачу, і дуже часто разграні чення йде тільки по VLAN

Розмежування на рівні мережевих контролерів слід робити створенням окремих віртуальних комутаторів під різні завдання

У будь-якому разі не можна нехтувати типовими для невіртуалізірованних систем засобами мережевої безпеки, такими як міжмережеві екрани Нагадаемо ню, що у VMware є власне рішення з таким функціоналом – VMware  vShield Zones (http://wwwvmwarecom/products/vshield-zones/)

Джерело: Міхєєв М О Адміністрування VMware vSphere 41 – М: ДМК Пресс, 2011 – 448 с: Ил

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*