Вывод esxi хостов в отдельный VLAN, нужно ли?

Question

[Fitrager]

Добрый день. Возник спор на работе "нужно ли выводить esxi хосты в отдельный программный vlan на коммутаторах"? VLAN не физический и соответственно все VLAN'ы упираются в скорость портов в 1 Гб/с. Оптики практически нет.

Мой коллега считает, что нужно, так как "esxi будет посылать служебные пакеты и засорять сеть и служебный трафик можно "прочитать". Плюс программный VLAN это безопасно." Цитата практически дословна.

Я считаю, что можно оставить в общей сети, защитив их встроенным firewall'ом esxi. Добавив отдельный список "белых" ip адресов, которые могут получить доступ напрямую к esxi хостам. Плюс 10-значные уникальные пароли на каждый хост с баном атакующего на час после двух неверных попыток, если он все-таки прорвется через firewall. Все управляется vCentr'ом с разделением прав, весь трафик идёт через https и по-моему не засоряет канал.
Создание VLAN'ов идёт через микротик и мне кажется проще сломать его, чем взломать все esxi хосты за короткий промежуток времени.

Заранее благодарю за ответы.
P.S. Возможно я что-то не понимаю в сетевом администрировании, но я только начал постигать это.

Answer 1

[athacker]

Во-первых, VLAN -- он по определнию не физический :-) Как вы понимаете, название "VIRTUAL LAN" нам как бы об этом намекает :-) Физический канал всё равно делится поровну между клиентами, независимо от того, есть у вас деление на вланы или нет.

Во-вторых, Ваш коллега отчасти прав. Но только отчасти. Сегментация сети действительно даёт больше возможностей контроля, и да, стоит разделить сеть на вланы. Причём не только гипервизоры вынести в отдельный VLAN, а вообще сети разделить. Чтобы управление vSphere -- в одном влане, storage-трафик -- в другом, трафик виртуальных машин -- в отдельных VLAN'ах. у вас же виртуалки не одной задачей занимаются, а разными? Соответственно, их нужно сгруппировать и рассадить по вланам. Веб-сервера -- одна сеть, бухгалтерские сервера с 1С -- в другой сети, контроллеры домена -- в третьей. И контроль на на маршрутизатор, чтобы с веб-серверов, доступных через интернет, нельзя было зайти на сервер бухгалтерии, равно как и наоборот.

Клиентов тоже поделить по группам/отделам, и каждый отдел -- в свой VLAN. С раздачей прав доступа, кому куда можно, а куда нельзя.

В идеале, сеть должна быть как можно сильнее сегментирована, и должен быть запрещён любой доступ между хостами, кроме явным образом разрешённого. Есть даже такой термин -- микросегментация. Там хосты даже в рамках одного влана могут друг с другом общаться только по явным образом разрешённым протоколам и портам, а вся остальная коммуникация между ниим запрещена. Но микросегментация -- это не ваша история, это всё реализуется решениями типа VMware NSX или Cisco ACI, т. е. это уже для больших дядек.

Да, и файрвол ESXi можно настроить, но лучше пользоваться более подходящими средствами для этого -- файрволами на маршрутизаторах. Т. е. делим сеть на подсети с помощью вланов и маршрутизации, и настраиваем правила хождения трафика между подсетями файрволом на маршрутизаторе.

Comments

[Алексей Кухаричев]

Даже добавить нечего :)

[Fitrager]

Зная нашего сетевого админа - это не вариант. Возможно когда я вплотную займусь сетевым администрированием, то попробую подобный вариант.

[athacker]

Fitrager, а ваш сетевой админ настаивает на развёртывании плоской сети, безо всякой сегментации? Тогда зачем вам вообще нужен сетевой админ? :-)

Answer 2

[Sanes]

Если вы доверяете администраторам гостевых машин, можете держать в одной сети. Могут в сети нагадить, если сеть не изолировать.

Answer 3

[Diman89]

Как минимум вынести в отдельный vlan management-трафик esxi-хоста

Comments

[Fitrager]

В идеале туда же можно вывести еще и vmotion трафик и чтобы это еще был отдельный физический vlan. Тогда при миграции и бэкапировании основной канал не забивался бы. Но доступа к свитчам я не имею, а к компетенции сетевого админа у меня много вопросов, после того как я начал разгребать все что он натворил, так что пока это не вариант для меня.

[athacker]

Fitrager, вланы от загрузки интерфейсов вас не спасут. Точка. Если вы полагаете, что сделав на одном 1G порту два влана, вы сможете заливать туда два гигабита, то нет, так это не работает. Если вы в одном влане вольёте гигабит, то на остальные вланы уже пропускной способности не останется. Поэтому трафик бэкапов будет точно также влиять на пропускную способность сети, как и ранее, независимо от того, изолируете вы его в отдельный влан или нет.

Сеть делится на вланы для двух целей:
1) Уменьшить broadcast-домен и немного снизить долю широковещательного трафика;
2) Увеличение степени контроля за сетью, что ведёт к повышению безопасности.