在不久的将来,我的公司将开始为一些商业客户托管终端服务系统。终端服务服务器将是两个大型 VM 主机之一上的 VM。
为了提供安全访问,我们将在我们的网络和客户之间建立一个站点到站点的 VPN。但是,客户端应该只能访问他们的虚拟机,而不是我们局域网上的机器。
到目前为止,我的最佳想法是为每个客户设置一个物理交换机。我们的 VPN 路由器会将每个客户的流量放到不同的端口上,然后该端口将连接到他们的交换机。该交换机将连接到每个 VM 主机上的物理 NIC。每个虚拟机都将与使用该 VM 的客户关联的物理 NIC 进行桥接。
尽管我认为这可行,但它似乎过于复杂且难以扩展。有人可以提出更好的解决方案吗?
我之前问过一个类似(但不同)的问题,可以在这里找到: 是否可以链接离散的 VPN 网络?
这对我来说听起来并不太复杂,虽然我没有在虚拟化方面做太多工作,但我怀疑您的计划对于为独立、不同的客户托管 IT 基础设施的公司来说是一个相当普遍的方案。我建议在单个交换机上使用 VLAN,而不是使用专用交换机,以降低基础设施成本。
您可能需要考虑在您的 vm 主机上运行虚拟路由器和虚拟交换机。看看这个 Vyatta虚拟化演示,了解如何做到这一点。