Glennie Vignarajah a écrit :
Salut,
Bonsoir
firewall/reverse-proxy/... sur une machine virtuelle, pas top pour moi. Tu ne dis pas quel est le nombre de machines réelles et combien de machines virtuelles tournent sur chaque machine réelle.[...]Y-a-t-il un risque si les firewalls/reverse-proxies sont sur une machine virtuelles? Les VLANS sont-ils assez étanches pour proposer le même niveau d'échantité des flus réseaux qu'actuellement?Avez-vous des retours d'expériences sur une architecture identique?
Une solution est d'utiliser un transparent/proxy, soit en façade de *tout* le réseau, soit en façade d'une partie du réseau. Cela permet de rediriger des flux vers des IP privées donc inaccessibles de l' extérieur.
De même, des machines réelles peuvent accueillir les flux de certains services (derrière ou en parallèle du transparent/proxy) et les forwarder à des VM (hôtes ou distantes).
Dans tous les cas de figures, ne serait ce que par simplification de maintenance, je ne ferai tourner le firewall _que_ sur la/les machine(s) hote(s), les VM étant protégées de par leur IP privée, uniquement vulnérables via les services fournis.
-- Daniel