网络 – 虚拟机网络架构,隔离公共和专用网络

我正在寻找有关虚拟环境中网络流量隔离的最佳实践的一些见解,特别是在VMWARE ESXi下.

目前我(在测试中)有1个运行ESXi的硬件服务器,但我希望将其扩展到多个硬件.

目前的设置如下:

1个pfsense VM,此VM接受所有外部(WAN / Internet)流量并执行防火墙/端口转发/ NAT功能.我有多个公共IP地址发送到此VM,用于访问各个服务器(通过每个传入的IP端口转发规则).此VM连接到所有其他VM所在的专用(虚拟)网络.它还管理到具有一些访问限制的私有网络的VPN链接.这不是外围防火墙,而只是此虚拟池的防火墙.

我有3个虚拟机相互通信,并有一些公共访问要求:

1个运行电子商务网站的LAMP服务器,可访问公共互联网

1个计费服务器,通过Windows Server 2008访问RDS服务,供用户远程访问

1个库存/仓库管理服务器,VPN到仓库中的客户端终端

这些服务器不断相互通信以进行数据同步.

目前,所有服务器都在同一个子网/虚拟网络上,并通过pfsense VM连接到Internet. pfsense防火墙使用端口转发和NAT来允许外部访问服务器以获取服务和服务器访问Internet.

我的主要问题是:

向每个服务器添加第二个虚拟网络适配器并控制流量,以便所有服务器到服务器通信都在一个单独的虚拟网络上,而对外部世界的任何访问都通过另一个网络适配器,通过防火墙进行路由,是否有安全优势? ,以及在互联网上.

这是我将使用的架构类型,如果这些都是物理服务器,但我不确定虚拟网络是否会改变我应该锁定此系统的方式.

感谢您对任何适当文献的任何想法或指导.

最佳答案
你当前的配置很好.私有交换机数据只能由连接到它的任何机器访问.您的访问范围有限,因此您应该安全.如果您确实做了任何事情,您可以将PF意义上的第二个NIC添加到单独的私有vSwitch中以基本上具有DMZ,但它不是必需的并且有点过分.你的milage可能会有所不同..

转载注明原文:网络 – 虚拟机网络架构,隔离公共和专用网络 - 代码日志