工程案例：为虚拟化中的web服务器架设web防火墙

工程案例：为虚拟化中的web服务器架设web防火墙

虚拟化方案的实施，对我们的网络结构或多或少有些影响，刚好有客户需要为运行在虚拟机中的web server架一台web防火墙。就此次案例，做了一个演示，有什么不足及需要改进之处，还望多指正。

场景：经过虚拟化建设，将现有服务器迁移到虚拟机之后，为了更好的为web服务器提供防护，要在web服务器前面架一台web防火墙。

实施步骤：

首先需要做的就是整体方案的规划，一共有四台ESXi主机，每台主机都是相同的硬件配置，提供web服务的虚拟机所在的主机有四块千兆网卡，拿出其中一块网卡分给web服务器用，然后连在web防火墙上，这样Web服务器的流量便直接经由web防火墙，达到对web服务器防护的目的。

网络拓扑结构如下：

做好规划后，便是具体的操作步骤了：（下面是在公司实验环境中做的演示，其中ESXi主机只有2块千兆网卡）

第一步：从web服务器所在ESXi主机上更改虚拟交换机的配置，把千兆网卡中的ethnic0从Vswitch0中移除； 

第二步：新建虚拟交换机Vswitch1，并把ethnic0加入到Vswitch1中；

点击右上角“添加网络向导” 

选择“连接类型”为：虚拟机 

选中“创建vSphere标准交换机”，勾选“vmnic0网卡” 

设置"端口组属性",“网络标签”为WEB SERVER 

单机“下一步”，直至“完成” 

完成后可以发现vmnic0已经添加到vSwitch1中。如下图，而且此时vSwitch1上面没有连接的虚拟机。 

第三步：把物理的ethnic0网卡与web防火墙连接。

第四步：把WEB SERVER虚拟机的网络适配器添加到vSwitch1中。

右键点击WEB SERVER,单机“编辑设置” 

硬件--网络适配器1--网络标签，选择标签WEB SERVER。 

点击确定后，在ESXi主机192.168.0.20的网络中，WEB SERVER-1虚拟机已经添加到标准交换机vSwitch1中。 

WEB SERVER-1虚拟机访问外网正常。 

演示结束！

总结：ESXi中的四块网卡做负载均衡，所以拿出其中一块网卡对ESXi主机以及里面运行的虚拟机没有任何影响；在把web server的网络关联到Vswitch1的同时，实现也是瞬时的，不会造成web服务器的业务中断。