Esta questão é semelhante a: Blade Enclosure, Multiple Blade Servers, Whats a aproximação mais próxima de uma DMZ?
No meu caso, não tenho virtualização, portanto não posso usar vLANs como sugerido nas respostas da pergunta acima.
Então eu tenho vários blades em um único chassi. Algumas das lâminas farão parte da DMZ e algumas estarão na rede interna (atrás da DMZ).
Existe algum problema de segurança, já que todos os blades estão interconectados através do chassi? Devo executar um firewall em cada blade para limitar o acesso à rede interna do rack?
Eu usarei blades HP executando Linux.
A virtualização não é um pré-requisito para o uso de VLANs, você só precisa de suporte a switch para VLANs que seu sistema blade HP quase certamente terá.
Na maioria dos casos, você pode configurar o switch interno ao qual cada interface de rede de blades se conecta em uma porta por porta e a VLAN nesse ponto, dando a você a separação desejada.
Eu não usei a solução blade da HP, mas tive um problema semelhante que precisei resolver usando um chassi IBM S com vários blades DMZ em uma configuração não virtualizada.
Normalmente, você configuraria VLANs com marcação / entroncamento e (provavelmente) LACP para fornecer redundância entre seus uplinks entre seu módulo de switch de chassi e seus comutadores reais em sua rede, mas eu senti isso com os poucos blades que tinha (3 ea rede simplista que eu estava configurando, eu pulei o entroncamento da VLAN e, em vez disso, tratei os pares de portas do módulo blade / switch como interfaces host / servidor (veja abaixo) e conectei-os em uma VLAN nativa não identificada - o "confiável" ou "DMZ" VLAN, junto com a interface de firewall apropriada - no único switch gerenciado que eu tinha para o projeto.
Eu encontrei através de sniffing de pacotes na interface do Módulo de Gerenciamento Avançado (a unidade de "comando e controle" do chassi principal). Eu pude ver muito bate-papo ARP (proxied) da rede de gabinetes internos (dos vários módulos de E / S ), mas de dentro dos sistemas operacionais / pilha de rede (Linux) instalado no metal nu no blade em si, eu não podia "ver" nenhum dos hosts não DMZ dos DMZ porque eu tinha atribuído cada interface física em o módulo de chave de disco a um grupo isolado que foi atribuído a uma lâmina, configurando efetivamente uma proporção de 1: 1 das portas do módulo de chave para interfaces lógicas na lâmina, ou seja, no módulo de chave, a porta 1 é atribuída ao grupo 1, que é atribuído à lâmina 1; a porta 2 é atribuída ao grupo 2, que é atribuído ao blade 2 e assim por diante.
Quanto ao armazenamento compartilhado, fiz algo semelhante novamente com uma combinação de zoneamento (o mapeamento de portas de E / S entre blades e armazenamento; isso determina qual (is) disco (s) rígido (s) o (s) blade (s) têm acesso. e volumes (o dispositivo em nível de bloco que você particiona / formata / monta em seu sistema operacional).
Uma vez que você tenha entendido que o chassi blade é apenas uma arquitetura de E / S de hardware mais organizada e eficiente, o que você está fazendo logicamente na configuração de armazenamento ou de rede é essencialmente igual ao equivalente físico. / p>
Tags firewall blade-server dmz