我在想,為什麼我不把我們所有的兩打伺服器都放入唯一的 VLAN 中,這樣我就可以從路由器有效地管理所有伺服器間的防火牆規則? (我會讓作業系統防火牆保持運作作為備份。)
在我有限的閱讀範圍內,我還沒有將其視為建議,但它對我來說似乎很有意義。我們 99% 的伺服器只是孤島——您從互聯網訪問它們,它們更新本地數據,僅此而已。 (不過,他們確實需要從我們的管理局網域網路和出站網際網路進行入站 ssh 存取才能取得更新。)關鍵是,伺服器間連線到目前為止是例外。沒有理由將伺服器放在共享區域網路中來緩解不存在的通訊。也沒有理由讓每台伺服器暴露給區域網路上第一台組成的電腦。
我缺什麼?這種配置有什麼缺點?
旁注,我是首先假設 VLAN 可用且易於實施。如果您有一個不錯的路由器並且所有機器都在現代虛擬機器管理程式中運行,那麼這似乎是一個合理的假設。
答案1
理論上可以,但您將透過路由器發送所有流量,這使其成為流量瓶頸。此外,它還會因路由器上的許多介面(每個 VLAN 一個)、許多存取控制清單或需要限制/允許流量的單獨位置而產生大量開銷,通常這可能會是一團糟。
通常 VLAN 用於包含類似安全等級的設備,或容納許多具有類似角色的設備(如電話、印表機或 WiFi 存取),或用於隔離部門或其他邏輯使用者分組。這也使它們能夠在沒有太多限制的情況下相互通信,這通常是一個很好的權衡,但您可以使用第 3 層交換器、基於主機的防火牆或專用防火牆等其他一些方法進一步限制它們。
當您使用路由器強制用戶端流量在 VLAN 間移動時,您會將交換器的所有 VLAN 間流量傳送至路由器,從而增加那裡的頻寬使用量。這可能是理想的,也可能不是理想的,但通常交換器的吞吐量比路由器高,因此通常不是一個好的權衡。
也就是說,考慮到您的環境描述,您可能會從網路範圍的防火牆與透過設定管理系統(puppet/chef/ansible 等)配置的更簡單的基於主機的防火牆相結合中獲得最大的收益。這使您可以透過簡單的方法來擴展防火牆配置,而無需為每台伺服器設定複雜的 VLAN。
編輯:哦,按照您建議的方式執行也會將伺服器的配置(即它們的安全性)與伺服器本身分開,這可能會導致不必要的額外複雜性。