У меня есть сервер с достаточным объемом памяти, а также один статический IP. Я хочу установить XenServer или ESXi на свой сервер и создать кучу виртуальных машин. Чтобы использовать все эти виртуальные машины из внешнего мира, я хочу направить всю сетевую активность XenServer (или ESXi) на одну из виртуальных машин, чтобы с помощью iptables я мог настроить сетевой трафик на все остальные виртуальные машины.
Возможно ли это и является ли это наилучшей практикой для данного сценария?
решение1
Возможно ли это? Конечно.
Это лучшая практика? Нет, не совсем. Могу сказать по личному опыту, что не очень-то весело терять маршрутизированный доступ к управлению хостом, когда его виртуальные машины не работают.
решение2
Да, это можно легко сделать, на самом деле существует множество готовых виртуальных машин, которые позволяют это сделать. Я бы порекомендовал «pfsense».
В итоге вы создаете один vSwitch с двумя группами портов, маршрутизатор получает vNIC в обоих PG, один из которых идет во внешний мир, а другой — во внутреннюю группу портов (если у вас две физические NIC, может быть безопаснее иметь два vSwitch, по одному PG на vSwitch, это будет безопаснее). Затем клиенты взаимодействуют только с внутренним PG и NAT маршрутизатора или чем-то еще между обеими сетями.