Мы - малый бизнес, и в течение нескольких лет успешно запускаем один виртуальный сервер Hyper-V 2012 R2 со множеством VMS Windows Server 2012, включая контроллер домена, веб-сервер, CRM Server и SQL Server. Для работы в сети у нас есть Draytek 2860, 2 физических коммутатора и гигаван.
У нас пока нет ИТ-отдела, и я в основном программист, но я занимаюсь системами и сетями (я планировал и выполнил настройку выше), но у меня недостаточно ноу-хау для подтверждения моих исследований и разработок, поэтому спасибо serverfault за существующие :)
По мере того, как мы росли, рос и наш трафик, и теперь я обнаружил, что в рабочее время на производительность сети влияют все виды трафика, внутреннего и внешнего.
Итак, в эти выходные я отправился в путешествие, чтобы повысить надежность сетей, а также развернуть зону DMZ для размещения и тестирования, доступную через Интернет.
Итак, после долгого чтения о маршрутизаторе (Draytek 2860), сети Hyper-V и виртуальных локальных сетях я придумал следующую настройку, которую я надеюсь успешно интегрировать сегодня, прежде чем завтра все вернутся в офис:
'Читайте слева направо, как будто есть связь между столбцами в одной строке.
Обратите внимание:
- Я хочу, чтобы серверы в DMZ управлялись доменом и имели доступ к некоторым ИТ-серверам, таким как SQL Server.
- Все подсети / виртуальные локальные сети будут использовать один и тот же DNS-сервер во влане "it & dev", вторичным будет маршрутизатор, например 191.168.1.1
- Подсеть / vlan DMZ имеет доступ только к vlan "it & dev"
- Lan3 предназначен для гостей, которые подключаются к отдельному беспроводному SSID на маршрутизаторе, но должны иметь доступ к подсети DMZ, например клиент, который приходит для демонстрации проекта.
- У моего VMHost есть 3 физических сетевых адаптера - подумайте об этой покупке;)
Итак, вопросы / разъяснения, которые я ищу:
- Является ли разделение пользовательского трафика от трафика «ИТ и разработчик» и «Пользователи и устройства» на виртуальную ленту разумным подходом к повышению производительности? Для меня это имеет смысл, но я просто ищу подтверждения.
- Этот маршрутизатор имеет межсетевую маршрутизацию, то есть, насколько я понимаю, это функция NAT для межсетевой / виртуальной маршрутизации. Но нужно ли мне использовать статические маршруты, или для обычного трафика будет достаточно межсетевой маршрутизации?
- В настоящее время у меня есть только один DC1, но я подумываю о развертывании второго. Как вы думаете, это хорошая идея, чтобы один был включен в влан "user & devices", а другой - в vlan "it & dev", или они должны всегда быть на одном влане? Имейте в виду, что DMZ не будет иметь доступа к vlan «user & devices», только к «it & dev». Будет ли плохо, если сервер в DMZ не сможет найти вторичный DC, потому что он находится в «user & devices vlan»?
- Я не рассматриваю возможности хранения (SAN или что-то подобное), но серьезно подумываю о файловом сервере, виртуальных машинах и внутреннем резервном копировании. Не могли бы вы указать мне правильное направление для разумного (по стоимости и настройке) решения?
- Я также подумываю о том, чтобы иметь еще один физический vmhost, следует ли мне разделять vms на vlan? Например, наличие vmhost для пользователя vms и другого vmhost для vms dev и dmz?
- Если есть какие-то недостатки, подводные камни или вещи, о которых я должен знать при реализации этого, пожалуйста, дайте мне знать.