Назад | Перейти на главную страницу

Выделенный сервер, несколько виртуальных машин на задней панели, HyperV на передней панели… Где я могу разместить TMG?

В качестве дополнительного вопроса к Как разместить несколько серверов на HyperV с несколькими общедоступными IP-адресами Я сейчас пытаюсь понять, куда поставить ISA / TMG Server? Должен ли он быть виртуализирован, прослушивать внешний IP-адрес и отправлять данные между внутренней сетью, или он должен размещаться в разделе хоста? В прошлый раз, когда я играл с ISA / TMG, это был физический ящик, а позади него были другие машины, так что это заставляет меня думать о виртуальном варианте. Дайте ему 2 общедоступных IP-адреса, и пусть он сам разберется с остальными ... Дайте 1 IP-адрес самой коробке для управления ... Каким образом он должен работать?

TMG как виртуальная машина работает хорошо, и мы предлагаем техническое видео, в котором описаны различные сценарии использования TMG, просто введите в Google «Виртуализируйте свои серверы ISA или Forefront TMG». Как всегда в этих вещах, есть лучшие практики, хорошие практики и глупости.

Лучшая практика, выраженная в видео, - иметь виртуализированные TMG на оборудовании, которое специально используется для работы по периметру. Очевидно, это не сработает, если у вас только один сервер. Однако сегментирование сети в соответствии с рекомендациями vid легко выполнимо в сценарии с одним сервером, если у вас есть как минимум 3 физических сетевых соединения.

  1. Одна из них станет виртуальной / физической сетью (т.е. виртуальной с внешним доступом), соединяющей VM TMG с Интернетом (или вашим маршрутизатором шлюза) - это не должен использоваться для управления оборудованием. В настройках Hyper V я называю эту сеть «черной», потому что она небезопасна и ведет к большому количеству людей.

  2. Одна из них будет виртуальной сетью (т.е. без внешнего доступа), соединяющей VM TMG с вашими целевыми виртуальными машинами - опять же, не используемая для управления оборудованием. Я называю эту сеть «голубой», потому что она условно безопасна и связывает все виртуальные машины вместе.

  3. Одна из них - это физическая сеть (которая вообще не используется Hyper V), которая используется исключительно для управления оборудованием. Я называю это «управление», и лучше всего держать его и хост вне Интернета или выходить в Интернет только с хоста для получения обновлений.

Логически это выглядит так:

Итак, когда вы назначаете виртуальные сетевые интерфейсы своим виртуальным машинам, TMG VM получает два (черный и синий), а все остальные виртуальные машины получают только синий цвет.

Это довольно просто, основная сложность - это то, с чем вы все равно столкнетесь, пытаясь понять, как Hyper V позволяет вам использовать сетевые подключения в качестве «виртуальных коммутаторов». Я установил то же самое с «черной» сетью и «синей» сетью, охватывающей многосерверный кластер, и обнаружил, что это работает блестяще. Основной прыжок веры заключается в том, что вы должны верить, что неприятный объект в черной сети не может перепрыгнуть через хост в синюю сеть. В любом случае Hyper V имеет рейтинг безопасности EAL4 +, поэтому справедливо сказать, что это маловероятно, если только ваш хост не будет серьезно скомпрометирован.

Я бы, вероятно, сделал это виртуальной машиной, чтобы, если вы получите другой хост, у вас будет HA для службы.