工程案例:為虛拟化中的web伺服器架設web防火牆
虛拟化方案的實施,對我們的網絡結構或多或少有些影響,剛好有客戶需要為運作在虛拟機中的web server架一台web防火牆。就此次案例,做了一個示範,有什麼不足及需要改進之處,還望多指正。
場景:經過虛拟化建設,将現有伺服器遷移到虛拟機之後,為了更好的為web伺服器提供防護,要在web伺服器前面架一台web防火牆。
實施步驟:
首先需要做的就是整體方案的規劃,一共有四台ESXi主機,每台主機都是相同的硬體配置,提供web服務的虛拟機所在的主機有四塊千兆網卡,拿出其中一塊網卡分給web伺服器用,然後連在web防火牆上,這樣Web伺服器的流量便直接經由web防火牆,達到對web伺服器防護的目的。
網絡拓撲結構如下:
做好規劃後,便是具體的操作步驟了:(下面是在公司實驗環境中做的示範,其中ESXi主機隻有2塊千兆網卡)
第一步:從web伺服器所在ESXi主機上更改虛拟交換機的配置,把千兆網卡中的ethnic0從Vswitch0中移除;
第二步:建立虛拟交換機Vswitch1,并把ethnic0加入到Vswitch1中;
點選右上角“添加網絡向導”
選擇“連接配接類型”為:虛拟機
選中“建立vSphere标準交換機”,勾選“vmnic0網卡”
設定"端口組屬性",“網絡标簽”為WEB SERVER
單機“下一步”,直至“完成”
完成後可以發現vmnic0已經添加到vSwitch1中。如下圖,而且此時vSwitch1上面沒有連接配接的虛拟機。
第三步:把實體的ethnic0網卡與web防火牆連接配接。
第四步:把WEB SERVER虛拟機的網絡擴充卡添加到vSwitch1中。
右鍵點選WEB SERVER,單機“編輯設定”
硬體--網絡擴充卡1--網絡标簽,選擇标簽WEB SERVER。
點選确定後,在ESXi主機192.168.0.20的網絡中,WEB SERVER-1虛拟機已經添加到标準交換機vSwitch1中。
WEB SERVER-1虛拟機通路外網正常。
示範結束!
總結:ESXi中的四塊網卡做負載均衡,是以拿出其中一塊網卡對ESXi主機以及裡面運作的虛拟機沒有任何影響;在把web server的網絡關聯到Vswitch1的同時,實作也是瞬時的,不會造成web伺服器的業務中斷。