Conectando o Unifi Controller em execução no Docker no ESXi à VLAN padrão enquanto isola outros contêineres e o host do contêiner da VLAN padrão

tag-icon tag-icon networking docker vmware-esxi ubuntu-22.04 unifi
Conectando o Unifi Controller em execução no Docker no ESXi à VLAN padrão enquanto isola outros contêineres e o host do contêiner da VLAN padrão

Eu tenho um host ESXi 6.7 com 6 NICs físicos. Essas NICs são configuradas da seguinte forma:

vSwitch0: vSwitch0

vSwitch1: vSwitch1

As NICs atribuídas ao vSwitch0 estão fisicamente conectadas a um switch Netgear cujas portas não estão marcadas para a VLAN específica a partir da qual desejo gerenciar o ESXi.

As NICs atribuídas ao vSwitch1 estão fisicamente conectadas a um switch Netgear cujas portas estão marcadas com as VLANs que desejo disponibilizar para as máquinas virtuais em execução no meu host ESXi (VLANs 10 e 50). Atualmente, minhas máquinas virtuais em meu host ESXi estão configuradas apenas para estar na VLAN 10.

Tenho experimentado o Docker recentemente, então criei uma máquina virtual Ubuntu Server 22.04 para rodar como meu host Docker. Adicionei um contêiner Unifi Controller e consegui adotar meus pontos de acesso no controlador usando o comando "set informe" de dentro do CLI do ponto de acesso.

Estou pensando em expandir minha rede Unifi e, depois de fazer mais pesquisas, percebi que, para agilizar o processo de adoção de dispositivos, preciso colocar meu controlador Unifi em minha VLAN padrão. É aqui que as coisas começam a ficar complicadas para mim....

Para que o contêiner acesse a VLAN padrão, imaginei que primeiro precisaria conectar o host do contêiner à VLAN padrão. Tentei conseguir isso criando um novo vSwitch (vSwitch2). A NIC física associada ao vSwitch2 está vinculada ao switch Netgear que está configurado apenas para tráfego não marcado. Achei que isolar o tráfego não marcado para essa VM específica por meio de um vSwitch dedicado era mais seguro do que permitir que todos os meus servidores acessassem a VLAN padrão.

vSwitch2: vSwitch2

Em seguida, adicionei uma segunda NIC ao meu host Docker. Imagem Docker com 2 NICs

Esta segunda NIC não recebeu um endereço IP via DHCP. Achei que poderia ter tido um problema de configuração do switch, então, para fins de teste, tentei atribuir a segunda NIC à VLAN 10 e depois à VLAN 50. Para minha surpresa, ele ainda não recebeu um IP via DHCP. Neste ponto, é evidente que o segundo NIC que não recebe um IP é resultado de algo configurado incorretamente na minha VM do Ubuntu Server. Antes de começar a fazer muitas alterações na configuração, gostaria de perguntar o seguinte:

  1. Se eu quiser usar meu host Docker para meu controlador Unifi, bem como para outros contêineres futuros, faria sentido conectar o host a duas redes separadas neste caso?
  2. É possível conectar o host Docker a mais de uma rede, mas garantir que o host só seja acessível em apenas uma dessas redes? Se sim, como isso é conseguido?
  3. Meu host docker precisa ter um endereço IP em uma rede para que o contêiner seja acessado (assumindo que o contêiner esteja configurado para rede macvlan).
  4. Faria sentido que o Controlador Unifi fosse configurado com rede macvlan?
  5. Configurar um vSwitch separado (vSwitch2) foi a escolha certa para isolar a VLAN padrão?
  6. Do ponto de vista da segurança, preciso fazer alterações na topologia da arquitetura/rede?

informação relacionada