В связи с вопросом в комьюнити выяснилось, что несмотря на большое количество статей, например: 1, 2, 3, существует некоторая путаница (в том числе и у меня:) ) в понимании темы Private VLAN. Особенно в плане настройки и работы через физическую сеть между несколькими ESX(i)-хостами.
В целях ликбеза и лучшего запоминания решил собрать тут некоторое подобие wiki по PVLAN.
Определение
Private VLAN -- способ деления одного широковещательного домена (VLAN) на под-домены.
A regular VLAN is a single broadcast domain. The private VLANs technology partitions a larger VLAN broadcast domain into smaller sub-domains
Иными словами, физическую сеть мы можем поделить на логические, используя VLAN, а внутри одного VLAN разграничение зон видимости реализуется с помощью PVLAN.
Как это реализовано в vSphere
Private VLAN (PVLAN) on vNetwork Distributed Switch - Concept Overview -- название говорит само за себя. Общие понятие и терминология
Как это работает
Про разные типы Primary и Secondary PVLAN много и подробно опиcано по ссылкам в самом начале.
На мой взгляд есть два ключевых факта для понимания PVLAN:
1. Трафик от ВМ в Isolated PVLAN=x не может попасть к другой ВМ в таком же Isolated PVLAN=x! Только в порт его Primary PVLAN. На одном хосте они находятся или на разных -- неважно.
2. Для пакетов из Secondary PVLAN не используется двойная инкапсуляция. Например, пакет, посланный из Secondary PVLAN=21, получает такую же метку, что и пакет, отправленный в другой сети из VLAN=21. Т.о. пакеты из PVLAN могут передаваться физическим свичом, настроенным на работу с теми же номерами VLAN. Вся "магия" доставлять/не доставлять пакет происходит в dVSwitch.
Как это настроить в vSphere
Configuration of Private VLAN (PVLAN) on vNetwork Distributed Switch -- самые основные шаги настройки.
Хорошее видео от Eric Sloof'а. Очень доходчиво и наглядно показаны все варианты использования VLAN в vSphere. Этапы настройки, как ESXi, так и на физическом свиче. Must see.
Наконец, для чего всё это нужно
1. VDI. Из соображений безопасности возможно сделать так, чтобы находясь в одной IP-сети (3 уровень) рабочие станции не видели друг друга (один единственный Isolated PVLAN). Создавая подобное с помощью обычных VLAN, мы будем ограничены ~4094 десктопами.
2. Компании-провайдеры IaaS, PaaS. Снова важно, чтобы при взломе сервера одного заказчика не были скомпрометированы машины других заказчиков.
3. Тестовые инсталляции Something-in-a-Box. В пределах одного ESXi смоделировать сложную сетевую инфраструктуру.
Буду стараться дополнять этот пост по мере получения новой информации.
Комментарии, уточнения приветствуются.
