|
先来看看我这次遇到的考题(客户真实需求):
1.在同一套服务器环境中,搭建出研发使用环境和展厅展示环境
2.研发编程开发的数据信息都在虚拟机环境中运行,同时,由于研发需要上网搜索资料,所以研发使用PC电脑接入虚拟机环境。要求虚拟机环境中的数据(直接拷贝或网络传输)不能到本地,但是从PC电脑上能够将数据传输到虚拟机。
3.展厅考虑到展示信息都相同,同时为了避免误操作导致其他问题,要求虚拟机重启不保留已经进行了的操作,使用adesk接入;并且由于展厅没有专人使用,要求开机后自动进入虚拟机,关闭虚拟机即关闭adesk;可以考虑用一个闸统一管理展区的adesk。
一、一个VDC如何解决1、VDC单臂部署
(1)VDC的LAN口中连接内网,研发、某公司虚拟机桥接到虚拟交换机(桥接到VDC的LAN口对应的物理网口)。 其中按照研发、某公司的地址规划,还有三种可能:第一种是研发、某公司处于同一个网段,如同是192.168.1.0/24这种网段,这种最不安全,本身就是同网段,没有任何安全可言;第二种是研发、某公司处于不同的子网,即研发为192.168.1.128/25,演示为192.168.1.0/24,网关同为192.168.1.1254。这种情况研发和演示使用相同的网关,但不能互访,相对安全;第三种是研发、某公司处于不同网段,即研发为192.168.1.0/24,演示为192.168.2.0/24,网关为各自网段最后一个可用的IP地址,此时,需要在LAN口配置第二IP地址。 缺点:需要配置前置防火墙或者出口设备,在三层设备对研发和某公司的IP地址配置不同的上网策略,其中只SNAT某公司的IP地址;不管IP地址如何规则,研发、某公司总是处于一个相同的二层网络,存在安全漏洞;研发与内网可以通信,存在安全漏洞。
(2)VDC的DMZ口连接内网,研发、某公司的虚拟机桥接到虚拟交换机(VDC的LAN口对应的虚拟交换机)。 此处,需要在VDC上配置防火墙规则,放通某公司地址到内网的数据,SNAT规则可以在VDC上做,也可以放到前置防火墙或出口三层设备上。 缺点:虽然研发、某公司的IP地址规划有多种方案,但依然存在漏洞,一旦有人获悉研发IP,即可以修改某公司虚拟机的IP,不需要通过跳转,就可以对研发虚拟机发起攻击。
2、VDC网关部署 (1)VDC的WAN连接内网,研发、某公司的虚拟机桥接到VDC的LAN口桥接的虚拟机交换机。 缺点:依旧是无法解决研发平台的安全问题。
综上所述,在1个VDC的场景下,有数十种不同的解决方案,但没有一种解决方案能解决研发网络的安全问题,不管是逻辑上还是物理上。
二、两个VDC如何解决 1、两个VDC均单臂部署 (1)两个VDC的LAN口分别接内网,研发、某公司的虚拟机分别桥接到虚拟交换机(对应VDC的LAN口桥接的虚拟交换机)。 缺点:这种方案将研发和某公司的虚拟机进行了物理隔离,但是研发虚拟机没有与内网进行隔离。
(2)两个VDC的DMZ口分别接内网,研发、某公司的虚报分别桥接到虚拟交换机(对应VDC的LAN口桥接的虚拟交换机)。 研发虚拟机和演示虚拟机进行了物理隔离,研发虚拟机与内网进行了逻辑隔离。 (3)一个VDC的DMZ口接内网,某公司虚拟机接虚拟交换机(对应VDC的LAN口桥接的虚拟交换机);另一个VDC的DMZ口接虚拟交换机(前一个VDC的LAN口桥接的虚拟交换机),研发平台的虚拟机桥虚拟交换机(对应VDC的LAN桥接的虚拟交换机)。 研发虚拟机和演示虚拟机进行逻辑隔离,研发虚拟机和内网进行了逻辑隔离。
综上所述,在2个VDC的场景下,亦有数十种解决方案,而且可以完美解决研发虚拟机的隔离问题。
结后语: 在5月底培训结束后,就有想法去写这篇文章,总结一下。但因为种种原因,种种原因归结起来就是懒,一直拖到今天,才草草写完。 饶妹妹在6月16日就写完她的分享,而我竟一拖拖了3个月之久,惭愧。 本文仅仅简单写了几种解题的方法,但肯定还有更多的解题思路,希望能对大家在今后的虚拟化测试和实施中有所帮助。
本文盗用了饶妹妹帖子的开头语,即试题的说明部分,希望饶妹妹不要介意。 | 
发表于 2016-8-7 23:06
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2016-8-16 09:28
技术专家4级 
