考えてみると、24 台ものサーバーすべてを固有の VLAN に配置して、ルーターからすべてのサーバー間ファイアウォール ルールを効果的に管理できるようにしたらどうでしょうか? (OS ファイアウォールはバックアップとして実行したままにします。)
私が読んだ限りでは、これが推奨されているとは思いませんが、私には非常に理にかなっているように思えます。当社のサーバーの 99% は単なるサイロです。インターネットからアクセスし、ローカル データを更新するだけで済みます。(ただし、更新を取得するには、管理 LAN からの受信 ssh アクセスと送信インターネットが必要です。) 重要なのは、サーバー間の接続がまったく例外であるということです。存在しない通信を容易にするために、サーバーを共有 LAN に配置する理由はありません。また、各サーバーを LAN 上の最初のマシンに公開したままにしておく理由もありません。
何が足りないのでしょうか? この構成の欠点は何でしょうか?
ちなみに、私は午前まず、VLAN が利用可能であり、簡単に実装できるという前提から始めます。適切なルーターがあり、すべてのマシンが最新のハイパーバイザーで実行されている場合、これは妥当な前提のようです。
答え1
理論上は可能ですが、すべてのトラフィックをルーター経由で送信することになるため、トラフィックのボトルネックになります。また、ルーター上の多数のインターフェイス (VLAN ごとに 1 つ)、多数のアクセス制御リスト、またはトラフィックを制限/許可する必要がある個別の場所によって、大量のオーバーヘッドが発生し、一般的に大きな混乱が生じる可能性があります...
通常、VLAN は、同様のセキュリティ レベルのデバイスを収容したり、同様の役割 (電話、プリンター、Wi-Fi アクセスなど) を持つ多数のデバイスを保持したり、部門やその他の論理的なユーザー グループをリング フェンスで囲んだりするために使用されます。これにより、多くの制限なしに相互通信できるようになります。これは通常、良いトレードオフですが、レイヤー 3 スイッチ、ホスト ベースのファイアウォール、または専用ファイアウォールなどの他の方法でさらに制限することもできます。
ルーターを使用してクライアント トラフィックを強制的に VLAN 間で移動させると、スイッチのすべての VLAN 間トラフィックがルーターに送信され、そこでの帯域幅の使用が増加します。これは望ましい場合とそうでない場合がありますが、一般的にスイッチのスループットはルーターよりも高いため、通常は良いトレードオフではありません。
とはいえ、環境の説明を考慮すると、ネットワーク全体のファイアウォールと、構成管理システム (puppet/chef/ansible など) を介して構成されるよりシンプルなホストベースのファイアウォールを組み合わせることで、おそらく最大の効果が得られるでしょう。これにより、各サーバーの VLAN の複雑さを伴わずに、ファイアウォール構成を簡単にスケールアウトできます。
編集: ああ、あなたが提案した方法で実行すると、サーバーの構成 (つまり、セキュリティ) がサーバー自体から分離されるため、不必要な複雑さが生じる可能性があります。