athacker

Может. Это не очень просто, но реализуемо: https://www.techrepublic.com/article/10-new-vm-esc...

https://www.linuxtechi.com/enable-nested-virtualiz...

Ну это вопрос того, сколько времени вы готовы тратить на обслуживание этого парка :-) Каждая система будет использовать ресурсы ноута, т. е. их придётся делить фактически между несколькими ОС. Плюс свои наборы софта, свои процедуры по обслуживанию (установка обновлений, например), плюс обслужвание хостовой ОС. Если возиться не лень, или есть возможность всё это автоматизировать -- ну, можно и несколько систем поставить. И бэкапить одну машину всяко проще, чем пачку виртуалок, да ещё, возможно, с разными ОС внутри.

Если это ради безопасности -- я бы посмотрел в сторону песочниц. Сам использую, например, Sandboxie.

Во-первых, VLAN -- он по определнию не физический :-) Как вы понимаете, название "VIRTUAL LAN" нам как бы об этом намекает :-) Физический канал всё равно делится поровну между клиентами, независимо от того, есть у вас деление на вланы или нет.

Во-вторых, Ваш коллега отчасти прав. Но только отчасти. Сегментация сети действительно даёт больше возможностей контроля, и да, стоит разделить сеть на вланы. Причём не только гипервизоры вынести в отдельный VLAN, а вообще сети разделить. Чтобы управление vSphere -- в одном влане, storage-трафик -- в другом, трафик виртуальных машин -- в отдельных VLAN'ах. у вас же виртуалки не одной задачей занимаются, а разными? Соответственно, их нужно сгруппировать и рассадить по вланам. Веб-сервера -- одна сеть, бухгалтерские сервера с 1С -- в другой сети, контроллеры домена -- в третьей. И контроль на на маршрутизатор, чтобы с веб-серверов, доступных через интернет, нельзя было зайти на сервер бухгалтерии, равно как и наоборот.

Клиентов тоже поделить по группам/отделам, и каждый отдел -- в свой VLAN. С раздачей прав доступа, кому куда можно, а куда нельзя.

В идеале, сеть должна быть как можно сильнее сегментирована, и должен быть запрещён любой доступ между хостами, кроме явным образом разрешённого. Есть даже такой термин -- микросегментация. Там хосты даже в рамках одного влана могут друг с другом общаться только по явным образом разрешённым протоколам и портам, а вся остальная коммуникация между ниим запрещена. Но микросегментация -- это не ваша история, это всё реализуется решениями типа VMware NSX или Cisco ACI, т. е. это уже для больших дядек.

Да, и файрвол ESXi можно настроить, но лучше пользоваться более подходящими средствами для этого -- файрволами на маршрутизаторах. Т. е. делим сеть на подсети с помощью вланов и маршрутизации, и настраиваем правила хождения трафика между подсетями файрволом на маршрутизаторе.

Не очень понятно, зачем отдельно бэкапить сетевую папку, если вы бэкапите всю виртуалку целиком.

Чем больше в рейде шпинделей -- тем выше производительность RAID'a.

Кластер из двух серверов не получится. Нужно минимум три -- один из серверов будет общим хранилищем для двух остальных. Это независимо от платформы виртуализации.

Что касается лицензий -- у VMware есть пакеты типа vSphere Essential, они стоят не так дорого, как если брать просто vSphere. Essential Plus покрывает три сервера и один vCenter, стоит около 250-300 тысяч рублей.

Но один сервер под общим хранилищем -- этого мало, так как он становится единой точка отказа (сдохнет -- и полягут ВСЕ виртуалки). Поэтому самым правильным вариантом решения будет конвергентная инфраструктура -- когда сервера виртуализации также презентуют свои локальные диски в какой-то из вариантов software defined storage. Среди вариантов: Ceph (бесплатный, но капризен, и для поддержки нужны нефиговые такие скиллы), VMware vSAN (стоит нефигово) или ScaleIO (тоже стоит порядком, но до 12 Тб сырого места можно юзать совсем бесплатно. В варианте из трёх узлов в кластере ScaleIO 12 Тб сырого места -- это 4 Тб полезного места. При росте числа узлов оверхед будет снижаться. Например, 12 Тб сырого места на 5 серверах уже обеспечит 5 Тб полезного места).

Так что всё зависит от бюджета. Тут всё как везде -- баланс между стоимостью и лёгкостью развёртывания/эксплуатации. Вложите больше денег -- получите решение, которое проще развернуть, проще эксплуатировать и есть саппорт. Вложите меньше -- надо будет юзать опенсорс, больше времени заложить на пилот, и зачастую самому разбираться с прибабахами, строча сообщения на форумах и гугля с космической скоростью :-)

Ну и, собственно, игроков на рынке виртуализации не так уж чтобы до фига. Microsoft Hyper-V, VMware ESXi, KVM. Proxmox -- это не вполне система виртуализации, это оркестратор для управления виртуальной инфраструктурой. Непосредственно виртуализацией занимается всё равно KVM (или LXC, но это вам не нужно).

ESXi free

Для ScaleIO нужно минимум 3 хоста, иначе не взлетит. Если не рассматриваете софт, так сказать, "флибустьер эдишн", то 10k$ вам не хватит. Железо можно, например, такое, в количестве от трёх штук:

stss.ru/products/servers/T-series/TX111.4-004LH.html

В комплекте с 32 гигами памяти, 4-х ядерным HT процом и 4 x 300 Gb SAS 10k RPM винтами за один сервера штука получается 172 тысячи рублы. В сумме, соответственно, около 510 тысяч. Вот и все ваши 10k$.

Но на этом уже можно разворачивать ScaleIO. Если три сервера будут именно в такой конфигурации, как я выше написал, то с 3-х хостов получите 1.2 Тб пространства. Негусто, но зато это реально конвергентное отказоустойчивое решение, с возможностью вывода из эксплуатации любого хоста (но только одного).

Ну и это прайсовая цена STSS-а, если долго плакаться, то можно их убедить скинуть цену. На лицензии всё равно не хватит, но копеечка лишней не бывает :-)

www.etronik.ru/scalemp-arxitektura-vsmp