Вход|Регистрация

Неразборчивое о виртуальном
Записи с меткой PVLAN

Wiki по Private VLAN

Вторник, 31 мая 2011, 03:04

В связи с вопросом в комьюнити выяснилось, что несмотря на большое количество статей, например: 1, 2, 3, существует некоторая путаница (в том числе и у меня:) ) в понимании темы Private VLAN. Особенно в плане настройки и работы через физическую сеть между несколькими ESX(i)-хостами.

В целях ликбеза и лучшего запоминания решил собрать тут некоторое подобие wiki по PVLAN.

Определение

Private VLAN -- способ деления одного широковещательного домена (VLAN) на под-домены.

A regular VLAN is a single broadcast domain. The private VLANs technology partitions a larger VLAN broadcast domain into smaller sub-domains

Источник

Иными словами, физическую сеть мы можем поделить на логические, используя VLAN, а внутри одного VLAN разграничение зон видимости реализуется с помощью PVLAN.



Как это реализовано в vSphere

Private VLAN (PVLAN) on vNetwork Distributed Switch - Concept Overview -- название говорит само за себя. Общие понятие и терминология

Как это работает

Про разные типы Primary и Secondary PVLAN много и подробно опиcано по ссылкам в самом начале.

На мой взгляд есть два ключевых факта для понимания PVLAN:

1. Трафик от ВМ в Isolated PVLAN=x не может попасть к другой ВМ в таком же Isolated PVLAN=x! Только в порт его Primary PVLAN. На одном хосте они находятся или на разных -- неважно.

2. Для пакетов из Secondary PVLAN не используется двойная инкапсуляция. Например, пакет, посланный из Secondary PVLAN=21, получает такую же метку, что и пакет, отправленный в другой сети из VLAN=21. Т.о. пакеты из PVLAN могут передаваться физическим свичом, настроенным на работу с теми же номерами VLAN. Вся "магия" доставлять/не доставлять пакет происходит в dVSwitch.

Как это настроить в vSphere

Configuration of Private VLAN (PVLAN) on vNetwork Distributed Switch  -- самые основные шаги настройки.

Хорошее видео от Eric Sloof'а. Очень доходчиво и наглядно показаны все варианты использования VLAN в vSphere. Этапы настройки, как ESXi, так и на физическом свиче. Must see.

Наконец, для чего всё это нужно

1. VDI. Из соображений безопасности возможно сделать так, чтобы находясь в одной IP-сети (3 уровень) рабочие станции не видели друг друга (один единственный Isolated PVLAN). Создавая подобное с помощью обычных VLAN, мы будем ограничены ~4094 десктопами.

2. Компании-провайдеры IaaS, PaaS. Снова важно, чтобы при взломе сервера одного заказчика не были скомпрометированы машины других заказчиков. 

3. Тестовые инсталляции Something-in-a-Box. В пределах одного ESXi смоделировать сложную сетевую инфраструктуру.

 

Буду стараться дополнять этот пост по мере получения новой информации.

Комментарии, уточнения приветствуются.

Написать комментарий
PVLAN  
⇤ Последнее
Первое ⇥
← Позже 1-я (и последняя) страница Раньше →