出于好奇,将防火墙作为 VM 来宾(无论 VM 主机 - ESX、Xen、Hyper-V 等如何)并通过防火墙重定向来自其他 VM 来宾的所有流量是否毫无意义/浪费/愚蠢虚拟机客人?
我不确定其他人/组织是否这样做。我知道资源可能会受到限制(CPU、RAM、磁盘/网络 I/O)等待任何可能通过的流量,但是是否有任何其他场景或情况将防火墙作为来宾 VM 并让其他来宾 VM 路由到它而不是是否比主机 VM 的外部盒子更好或可比?
在性能方面,我意识到作为访客 VM 资源使用会影响其他访客,但除此之外,我是否遗漏了什么?安全、最佳实践、常识?
欢迎任何想法、评论或批评。
这是一种非常常见的配置,通常称为“DMZ in a box”。这是一份 VMware 白皮书,讨论了使用虚拟基础架构的各种级别的崩溃 DMZ。
VMware 的 vSphere 建立在其中一些想法的基础上,并通过名为vShield Zones的产品对其进行了扩展