adlsrl
Contributor
Contributor

esxi free isolare macchine virtuali

Ciao a tutti.

Dopo qualche ricerca su google credo di aver capito che la risposta alla mia domanda sarà no però ci provo lo stesso.

Abbiamo installato un server in cui creare per qualche cliente 2-3 vm windows server dove andranno ad usare il loro software gestionale.

Il server ha s.o. esxi 5.1 con licenza free.

E' possibile isolare le macchine virtuali appartenenti allo stesso VSS in modo che non si vedano tra loro ma permettendogli di uscire in internet attraverso la stessa interfaccia fisica di rete? Avrei a disposizione 2 schede di rete.

Vorremmo evitare di spendere soldi nell'acquisto di licenze e hardware al momento ma cominciare comunque ad implementare la cosa.

Grazie mille e Buon Natale !!

Tags (4)
3 Replies
ldelloca
Virtuoso
Virtuoso

Ciao, la risposta è NI in realtà.

La soluzione che cerchi esiste, e si chiama PVLAN, in particolare nella modalità Isolated. Ma per avere pvlan ti servono i distributed switches, e per averli devi prendere una delle licenze che le supportano.

C’è però una soluzione un pò macchinosa ma che può funzionare: puoi creare differenti virtual switches senza uplink a disposizione, uno per cliente. In questo modo le varie VM possono parlare solo con altre VM connesse allo stesso virtual switch. Poi crei un ulteriore virtual switch, questo si con la scheda di rete del server ESXi, cui però non colleghi nessuna VM dei clienti.

Infine, ti fai una bella VM con dentro uno dei vari sistemi firewall free esistenti, io ad esempio uso spesso pfsense, e questa VM ha tante schede di rete quanti sono i vswitch, con ognuna di queste schede connessa ai vari virtual switches appunto. Crei infine varie regole di NAT/PAT per redirigere le varie connessioni dove ti servono. In questo modo, l’unico modo per raggiungere determinate VM è passare da quel firewall.

In situazioni complesse puoi anche pensare di avere un piccolo firewall per ogni cliente, dove magari fai terminare la loro specifica configurazione VPN, o altre soluzioni simili che mantengano però lo stesso concetto.

Ciao,

Luca.

Luca Dell'Oca | vExpert 2011-2012-2013-2014-2015-2016-2017, VCAP-DCD, CISSP #58353 | http://www.virtualtothecore.com | @dellock6 | http://www.linkedin.com/in/lucadelloca | If you find this post useful, please consider awarding points for "Correct" or "Helpful"
rsicilia
Expert
Expert

Ciao, ti propongo qualcosa di simile a quanto detto da Luca. Visto che hai tre cliente e una singola uscita internet opererei così:

  • Crea 4 PortGroup (cliente1, cliente2, cliente3, wan)
  • Al PortGroup WAN, dovendo necessariamente essere messo in visibilità verso internet, associa una VLAN che gli consenta di essere in visibilità con il vostro internet gateway
  • Connetti le vNIC delle VM dei vari clienti ai PortGroup relativi
  • Crea una VM Firewall/Gateway con 4 vNIC, una per ogni PortGroup creato
  • Configura la VM Firewall come gateway per i PortGroup dei clienti e imposta delle ACL che inibiscano la visibilità tra le reti private delle VMs

Spero di esserti stato d'aiuto

Ciao!

--

Rocco Sicilia

http://www.roccosicilia.it

Rocco Sicilia [aka: BrC] - http://www.roccosicilia.it - VTSP 4-5, VCP 4-5, vExpert 2013/2014
adlsrl
Contributor
Contributor

Grazie mille a entrambi.

Valuterò le due soluzioni. Per ora siamo allo stato embrionale.....

0 Kudos