虚拟基础设施网络为什么要分段？

有朋友经常问我这个问题：虚拟基础设施网络为什么要分段？
其实当设计虚拟基础设施的时候，网络是人们最担心的问题之一。把50个服务器放在5个篮子里会产生新的输入/输出，并让人担心安全问题。下面是我们实施这个计划并且得到良好结果的情况：
1.服务器虚拟局域网–让你的服务器有一个单独的虚拟局域网不仅可以提高它的安全水平，而且还能保证你的“ESX to ESX”连接的高可用性不会被其它网络通讯阻塞。
2.vMotion物理地分段–这样做的理由是改善性能。运行一个vMotion或者一个svMotion在网络上发送大量的数据。为了不影响网络上的其它应用程序的性能，并获得在迁移中的最佳的吞吐量，采取这种物理隔离的方法是关键。
这样做的一个还有一个理由，也是就安全问题。当一个vMotion正在发生的时候，一个虚拟机内存的原始内容要在这个网络上传送。如果一个恶意的人监听到这个虚拟局域网，他就能读到你的服务器的整个内存内容。如果你在那个服务器上处理重要的数据，这就产生了额外的泄密点。
3.虚拟机网络–在我们的实例中，我们为虚拟机使用的虚拟局域网与我们为物理服务器使用的虚拟局域网是相同的。
4.存储网络–如果你在后台使用iSCSI(互联网小型计算机系统接口)或者NFS(网络文件系统)，如果不能在物理上保证你的存储设备的适当的性能，至少将这个网络虚拟地分段是有意义的。

水心儿  发表于: 2010-01-24