On Mon, Aug 06, 2012 at 09:46:50AM -0300, Andrew Birukov wrote:

On 06.08.2012 06:47, Yuriy B. Borysov wrote:

...

Здравствуйте!

А есть ли какие-то средства в Vmware ESX для изоляции виртуальных машин по сети друг от друга? Кроме запихивания их в разные vlan-ы? Есть ли какие-то ACL?

Строишь виртуальных свичей сколько хочется и разные VM цепляешь к разным свичам. что по сути и есть куча вланов

Думаю, что нет таких средств в самой вмваре - разруливать кучу этих свичей на хосте "как в голову взбредёт" почти единственный вариант (ещё - прицепить несколько к гостевой ОС и на ней изображать маршрутизацию/firewall) -- Best regards, Paul Arakelyan.

2012/8/7 Vladimir Velychko :

2012/8/7 Paul Arakelyan :

...

On Mon, Aug 06, 2012 at 09:46:50AM -0300, Andrew Birukov wrote:

...

On 06.08.2012 06:47, Yuriy B. Borysov wrote:

...

Здравствуйте!

А есть ли какие-то средства в Vmware ESX для изоляции виртуальных машин по сети друг от друга? Кроме запихивания их в разные vlan-ы? Есть ли какие-то ACL?

Строишь виртуальных свичей сколько хочется и разные VM цепляешь к разным свичам. что по сути и есть куча вланов

Думаю, что нет таких средств в самой вмваре - разруливать кучу этих свичей на хосте "как в голову взбредёт" почти единственный вариант (ещё - прицепить несколько к гостевой ОС и на ней изображать маршрутизацию/firewall)

Должен быть какой-нить vSwitch, как например в XenServer - openvswitch.org. Кстати, там же пишут про vNetwork в вмваре. Или речь идёт о бесплатной версии вмвари? Там наверняка эти плюшки только за деньги.

Во всех версиях есть vSwitch (так и называется). Правда нельзя расшарить физический аплинк между ними (он должен принадлежать одному vSwitch). В плантных Ent и Ent+ версиях дополнительно есть dvSwitch (control plane общий на весь кластер). Можно пробрасывать privateVlan между хостами. Делать Isolated pVlan. Например. Если хочется изолировать несколько VM в одном vlan, можно создать нужное количество vSwitch, соеденить их c cоотв VM. Также создать vSwitch у которого будет физический аплинк. Далее создать VM у которой будут интерфейсы во всех свичах (ограничение в 10 штук) и которая будет бриджевать весь трафик, пропуская его через FW. Также есть стек продуктов VMware vShield, в.ч. vShield App умеет инспектировать трафик между VM в одном vlan (работает как агент в Host). -- Best regards, Andriy Yakovlev (AYA-RIPE)

Hi! On Wed, Aug 08, 2012 at 12:16:07PM +0300, Michail Litvak writes:

BTW, а что принято использовать в качестве виртуального раутера ? Т.е. если нужно именно маршрутизировать между инстансами/vlan'ами ? Не ставить же FreeBSD в VM ? ;)

http://www.cisco.com/en/US/products/ps10785/index.html -- WBR, Yuriy B. Borysov YOKO-UANIC | YOKO-RIPE

Приветы. Если у вас больше одного супервизора (хоста), то маршрутизацию трафика между VLAN, в которых живут виртуалки, советую выносить на внешний L3-коммутатор. Для инфраструктур с десятками хостов и сотнями виртуалок сложно представить масштабируемое и простое в обслуживании решение в виде одного/нескольких виртуальных маршрутизаторов. Если у вас 1 хост, выбор виртуального роутера за вами: от xBSD и Linux до Vyatta, Mikrotik т.п. -- Cheers. Andrei. 8 августа 2012 г., 12:16 пользователь Michail Litvak написал:

Hello Andriy Yakovlev!

Wed, Aug 08, 2012 at 12:26:23PM +0300, freedom wrote about "Re: [uanog] ACL in ESX":

...

Во всех версиях есть vSwitch (так и называется). Правда нельзя расшарить физический аплинк между ними (он должен принадлежать одному vSwitch).

В плантных Ent и Ent+ версиях дополнительно есть dvSwitch (control plane общий на весь кластер). Можно пробрасывать privateVlan между хостами. Делать Isolated pVlan.

Например. Если хочется изолировать несколько VM в одном vlan, можно создать нужное количество vSwitch, соеденить их c cоотв VM. Также создать vSwitch у которого будет физический аплинк. Далее создать VM у которой будут интерфейсы во всех свичах (ограничение в 10 штук) и которая будет бриджевать весь трафик, пропуская его через FW.

BTW, а что принято использовать в качестве виртуального раутера ? Т.е. если нужно именно маршрутизировать между инстансами/vlan'ами ? Не ставить же FreeBSD в VM ? ;)

-- //ShaD0w

Есть Cisco Virtual Security Gateway (VSG). Стоит денег и работает только с Nexus 1000V, который тоже стоит денег. 6 августа 2012 г., 12:47 пользователь Yuriy B. Borysov написал:

Здравствуйте!

А есть ли какие-то средства в Vmware ESX для изоляции виртуальных машин по сети друг от друга? Кроме запихивания их в разные vlan-ы? Есть ли какие-то ACL?

Спасибо!

-- WBR, Yuriy B. Borysov YOKO-UANIC | YOKO-RIPE