Tengo un host ESXi 6.7 con 6 NIC físicas. Esas NIC están configuradas de la siguiente manera:
vSwitch0:
vSwitch1:
Las NIC asignadas a vSwitch0 están conectadas físicamente a un conmutador Netgear cuyos puertos no están etiquetados para la VLAN específica desde la que deseo administrar ESXi.
Las NIC asignadas a vSwitch1 están conectadas físicamente a un conmutador Netgear cuyos puertos están etiquetados con las VLAN que deseo que estén disponibles para las máquinas virtuales que se ejecutan en mi host ESXi (VLAN 10 y 50). Actualmente, mis máquinas virtuales en mi host ESXi solo están configuradas para estar en VLAN 10.
He estado experimentando con Docker últimamente, así que puse en marcha una máquina virtual Ubuntu Server 22.04 para ejecutarla como mi host Docker. Agregué un contenedor de controlador Unifi y logré adoptar mis puntos de acceso en el controlador usando el comando "set inform" desde la CLI del punto de acceso.
Estoy considerando expandir mi red Unifi y, después de investigar un poco más, me di cuenta de que para agilizar el proceso de adopción del dispositivo, necesito instalar mi controlador Unifi en mi VLAN predeterminada. Aquí es donde las cosas empiezan a complicarse para mí....
Para que el contenedor acceda a la VLAN predeterminada, pensé que primero necesitaría conectar el host de mi contenedor a la VLAN predeterminada. Intenté lograr esto creando un nuevo vSwitch (vSwitch2). La NIC física asociada con vSwitch2 está vinculada al conmutador Netgear que está configurado solo para tráfico sin etiquetar. Pensé que aislar el tráfico sin etiquetar a esta VM específica a través de un vSwitch dedicado era más seguro que permitir que todos mis servidores accedieran a la VLAN predeterminada.
vSwitch2:
Luego agregué una segunda NIC a mi host Docker.
Esta segunda NIC no recibió una dirección IP a través de DHCP. Pensé que podría haber tenido un problema de configuración del conmutador, así que, para fines de prueba, intenté asignar la segunda NIC a la VLAN 10 y luego a la VLAN 50. Para mi sorpresa, todavía no recibió una IP a través de DHCP. En este punto, es evidente que la segunda NIC que no recibe una IP se debe a que algo está mal configurado dentro de mi VM de servidor Ubuntu. Antes de sumergirme en la trampa de hacer muchos cambios de configuración, quería preguntar lo siguiente:
- Si quiero usar mi host Docker para mi controlador Unifi y otros contenedores futuros, ¿tendría sentido conectar el host a dos redes separadas en este caso?
- ¿Es posible conectar el host Docker a más de una red, pero asegurarse de que solo se pueda acceder al host desde una de esas redes? Si es así, ¿cómo se logra esto?
- ¿Mi host Docker necesita tener una dirección IP en una red para poder acceder al contenedor (suponiendo que el contenedor esté configurado para redes Macvlan)?
- ¿Tendría sentido que el controlador Unifi estuviera configurado con red macvlan?
- ¿Configurar un vSwitch separado (vSwitch2) fue la opción correcta para aislar la VLAN predeterminada?
- Desde el punto de vista de la seguridad, ¿necesito realizar cambios en la arquitectura/topología de la red?