1

Я думал, почему бы мне просто не поместить все наши два десятка серверов в уникальные виртуальные сети, чтобы я мог эффективно управлять всеми правилами межсерверного межсетевого экрана с маршрутизатора? (Я бы оставил брандмауэры ОС в качестве резервной копии.)

В моем ограниченном чтении я не рассматривал это как рекомендацию, но мне кажется, что это имеет большой смысл. 99% наших серверов - это просто бункеры - вы получаете к ним доступ из Интернета, они обновляют свои локальные данные, и на этом все. (Тем не менее, для получения обновлений им необходим входящий ssh-доступ из нашей сети управления и исходящего Интернета.) Дело в том, что межсерверное соединение является безусловно исключением. Нет причин размещать серверы в общей сети, чтобы упростить несуществующую связь. Также нет причин оставлять каждый сервер доступным для первой включенной машины в локальной сети.

Что мне не хватает? В чем недостаток этой конфигурации?

Заметьте, я начинаю с предположения, что vlans доступны и просты в реализации. Если у вас есть приличный маршрутизатор и все ваши машины работают на современных гипервизорах, это кажется справедливым предположением.

|источник

1 ответ1

0

Вы можете теоретически, но вы бы отправили весь трафик через маршрутизатор, что делает его узким местом для трафика. Кроме того, это приведет к большим накладным расходам со многими интерфейсами на маршрутизаторе (по одному на vlan), множеством списков контроля доступа или отдельных мест, где вам нужно ограничить / разрешить трафик, и, как правило, это будет большой беспорядок. ..

Обычно виртуальные локальные сети используются для хранения устройств с аналогичным уровнем безопасности или для хранения множества устройств с одинаковой ролью (например, для телефонов, принтеров или доступа к Wi-Fi) или для ограничения доступа к отделу или другой логической группе пользователей. Это также позволяет им взаимодействовать между собой без стольких ограничений, что обычно является хорошим компромиссом, но вы можете дополнительно ограничить это с помощью коммутатора уровня 3, брандмауэра на основе хоста или некоторых других методов, таких как выделенные брандмауэры.

Когда вы используете маршрутизатор для принудительного перемещения клиентского трафика между виртуальными локальными сетями, вы отправляете весь меж-виртуальный трафик коммутатора на маршрутизатор, что увеличивает используемую пропускную способность. Это может или не может быть желательным, но обычно коммутатор будет иметь более высокую пропускную способность, чем маршрутизатор, поэтому обычно не является хорошим компромиссом.

Тем не менее, учитывая описание вашей среды, вы, вероятно, получите наибольшую отдачу от сетевого брандмауэра в сочетании с более простыми брандмауэрами на основе хоста, которые можно настроить через систему управления конфигурацией (puppet/chef/ansible et al). Это позволяет вам легко масштабировать конфигурацию брандмауэра без использования vlans для каждого сервера.

отредактируйте: о, и делая это, ваш предложенный способ также разделяет конфигурацию серверов (то есть: их безопасность) от самих серверов, что может привести к ненужной дополнительной сложности.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .