Re: [uanog] ACL in ESX

8 Aug 2012

      2012/8/7 Vladimir Velychko :
...
2012/8/7 Paul Arakelyan :
...
On Mon, Aug 06, 2012 at 09:46:50AM -0300, Andrew Birukov wrote:
...
On 06.08.2012 06:47, Yuriy B. Borysov wrote:
...
Здравствуйте!
А есть ли какие-то средства в Vmware ESX для изоляции виртуальных
машин по сети друг от друга? Кроме запихивания их в разные vlan-ы?
Есть ли какие-то ACL?
Строишь виртуальных свичей сколько хочется и разные VM цепляешь к разным
свичам.
что по сути и есть куча вланов
Думаю, что нет таких средств в самой вмваре - разруливать кучу этих свичей
на хосте "как в голову взбредёт" почти единственный вариант (ещё - прицепить
несколько к гостевой ОС и на ней изображать маршрутизацию/firewall)
Должен быть какой-нить vSwitch, как например в XenServer - openvswitch.org.
Кстати, там же пишут про vNetwork в вмваре. Или речь идёт о бесплатной
версии вмвари? Там наверняка эти плюшки только за деньги.
Во всех версиях есть vSwitch (так и называется). Правда нельзя
расшарить физический аплинк между ними (он должен принадлежать одному
vSwitch).

В плантных Ent и Ent+ версиях дополнительно есть dvSwitch (control
plane общий на весь кластер).
Можно пробрасывать privateVlan между хостами. Делать Isolated pVlan.

Например. Если хочется изолировать несколько VM в одном vlan, можно
создать нужное количество vSwitch, соеденить их c cоотв VM.
Также создать vSwitch у которого будет физический аплинк.
Далее создать VM у которой будут интерфейсы во всех свичах
(ограничение в 10 штук) и которая будет бриджевать весь трафик,
пропуская его через FW.

Также есть стек продуктов VMware vShield, в.ч. vShield App умеет
инспектировать трафик между VM в одном vlan (работает как агент в
Host).

-- 
Best regards,
Andriy Yakovlev (AYA-RIPE)