У меня есть хост ESXi 6.7 с 6 физическими сетевыми картами. Эти сетевые карты настроены следующим образом:
vSwitch0:
vSwitch1:
Сетевые карты, назначенные vSwitch0, физически подключены к коммутатору Netgear, порты которого не помечены для конкретной VLAN, из которой я хочу управлять ESXi.
Сетевые карты, назначенные vSwitch1, физически подключены к коммутатору Netgear, порты которого помечены VLAN, которые я хочу сделать доступными для виртуальных машин, работающих на моем хосте ESXi (VLAN 10 и 50). В настоящее время мои виртуальные машины на моем хосте ESXi настроены только на VLAN 10.
В последнее время я экспериментировал с Docker, поэтому я развернул виртуальную машину Ubuntu Server 22.04 для работы в качестве хоста Docker. Я добавил контейнер Unifi Controller и сумел адаптировать свои точки доступа к контроллеру с помощью команды "set inform" из cli точки доступа.
Я рассматриваю возможность расширения своей сети Unifi, и после проведения дополнительных исследований я понял, что для упрощения процесса адаптации устройств мне нужно подключить контроллер Unifi к моей VLAN по умолчанию. Вот тут-то все и начинает усложняться для меня...
Чтобы контейнер мог получить доступ к VLAN по умолчанию, я решил, что мне сначала нужно подключить свой хост контейнера к VLAN по умолчанию. Я попытался сделать это, создав новый vSwitch (vSwitch2). Физическая сетевая карта, связанная с vSwitch2, привязана к коммутатору Netgear, настроенному только для нетегированного трафика. Я решил, что изоляция нетегированного трафика для этой конкретной виртуальной машины через выделенный vSwitch будет безопаснее, чем разрешение всем моим серверам доступа к VLAN по умолчанию.
vSwitch2:
Затем я добавил вторую сетевую карту к своему хосту Docker.
Эта 2-я сетевая карта не получила IP-адрес через DHCP. Я подумал, что у меня, возможно, проблема с конфигурацией коммутатора, поэтому в целях тестирования я попробовал назначить 2-ю сетевую карту VLAN 10, а затем VLAN 50. К моему удивлению, она все еще не получила IP через DHCP. На этом этапе очевидно, что 2-я сетевая карта, не получающая IP, является результатом чего-то неправильно настроенного в моей виртуальной машине Ubuntu Server. Прежде чем я спущусь в кроличью нору внесения множества изменений в конфигурацию, я хотел бы спросить следующее:
- Если я хочу использовать свой хост Docker для контроллера Unifi, а также для других будущих контейнеров, имеет ли смысл подключать хост к двум отдельным сетям в этом случае?
- Можно ли подключить хост Docker к нескольким сетям, но при этом обеспечить доступ к хосту только из одной из этих сетей? Если да, то как это достигается?
- Должен ли мой хост Docker иметь IP-адрес в сети, чтобы получить доступ к контейнеру (при условии, что контейнер настроен для работы в сети MacVLAN).
- Имеет ли смысл настраивать контроллер Unifi с использованием сети MacVLAN?
- Была ли настройка отдельного vSwitch (vSwitch2) правильным выбором для изоляции VLAN по умолчанию?
- С точки зрения безопасности, нужно ли мне вносить изменения в архитектуру/топологию сети?