Назад | Перейти на главную страницу

Сетевое проектирование виртуализация виртуальной машины в небольшом офисе

Я недавно купил 16 Гб оперативной памяти, четырехъядерный Mac mini Intel i7, который будет использоваться в качестве центральной точки входа в мою сеть, и мне нужен совет о том, как спроектировать сеть, подходящую для небольшого офиса.

Мое оборудование состоит из пары ноутбуков, ПК с подключенным принтером, сетевой камеры, некоторых беспроводных устройств, таких как телефоны и планшеты, маршрутизатора и, конечно же, Mac mini.

Требования к Mac mini server:

Mac mini будет использовать OSX в качестве основной операционной системы, а я буду использовать виртуализацию для создания необходимых серверов.

Мои вопросы:

  1. Должен ли я создавать отдельные экземпляры виртуальных машин для каждого сервера или допустимо сгруппировать некоторые из серверов, например. Сервер LAMP и сервер Git?
  2. Как защитить веб-сервер от локальной сети? Можно ли создать «виртуальную» DMZ для размещения веб-сервера? Я не хочу, чтобы возможный злоумышленник получил доступ ко всей локальной сети (особенно к сетевой камере), если веб-сервер будет скомпрометирован.
  3. Какое программное обеспечение виртуализации вы рекомендуете для такой настройки?

Простите, но вы не можете.

Нет разумного механизма виртуализации поверх OSX. Есть VMware Fusion, но она не предназначена для работы серверов, не для производственного использования, ну, конечно, я бы не стал.

Хотелось бы, чтобы вы задавали этот вопрос перед покупкой оборудования.

Если бы я разрабатывал эту схему сети, я бы сделал следующее:

 Internets   x
            +
           x|
          x |
xxxxxxxxxxx |                                                                           Wired Stuff
            |
            |                                                                           ^ ^
            |                                                                           | |
          +-v------------------+                                                        | |
          |Firewall            |                                                        | |
          |                    +-----------------------------------------+              | |
          +-+--+---------------+                                         |              | |
            |  |DMZ on VLAN 3                                            |              | |
            |  |Internal on VLAN 2                                       |              | |
          +-v--v-----------------------------------------------+   +-----v--------------+-+---+
          |Dell R720 running ESXi                              |   |24-port Managed Switch    | Management on VLAN1
          |----------------------------------------------------|   |                          |
          +----------------------------------------------------+   +-+------------------------+
          |  Active Directory Server (Windows 2012) VLAN 2,4   |     |
          |                                                    |   +-v------------------------+
          +----------------------------------------------------+   |Wireless Access Point     |
          |  LAMP Server (Internal)                 VLAN 2,4   |   |                          |
          |                                                    |   +-+----+-------+-----------+
          +----------------------------------------------------+     |    |       |
          | LAMP Server External                    VLAN 3     |     |    |       |
          |                                                    |     |    |       |
          +----------------------------------------------------+     v    +-->    v
          | Internal Git Repos                      VLAN 2,4   |     Wireless Stuff
          |                                                    |
          +-------------------------+--------------------------+
          |  Internal DNS   VLAN 2  |                          |
          |                         |                          |
          |                         |                          |
          +----------------------------------------------------+
          | File Storage    VLAN 2,4                           |
          |                                                    |
          |                                                    |
          |                                                    |
          |                                                    |
          |                                                    |
          +----------------------------------------------------+
          | Unprovisioned Resources                            |
          |                                                    |
          |                                                    |
          |                                                    |
          |                                                    |
          |                                                    |
          +----------------------------------------------------+

Итак, у вас есть брандмауэр, поступает нечистый трафик и фильтруется либо на входящий доступ, либо на трафик DMZ в 2 VLAN.

У вас есть подходящий сервер, на котором запущено программное обеспечение виртуализации корпоративного уровня, с парой портов NIC (в зависимости от того, как вы хотите разделить ..)

Входящий интернет-трафик проходит через брандмауэр и, в зависимости от того, куда он направляется и правил, попадает либо в DMZ, либо во внутренний.

Тогда виртуальные машины имеют сетевой адаптер в одной или другой сети VLAN, а файловый сервер находится в другой VLAN.

Учитывая выбор, я бы, вероятно, выбрал брандмауэр с двойной оболочкой, где у вас были бы два разных поставщика между внешними и внутренними краями, для более глубокой защиты.

Вы должны иметь возможность выбрать достойный межсетевой экран в зависимости от вашей пропускной способности, а также от количества виртуальных зон безопасности, которые поддерживает устройство.

Вам следует использовать управляемый коммутатор, который даст вам возможность обрабатывать VLAN и дополнительно разделять трафик по соображениям безопасности.

Для сервера, на котором работает все это, я бы искал где-то в районе 12 ядер и около 24-32 ГБ оперативной памяти, чтобы дать вам место для дальнейшего роста. Вам также понадобятся диски, их много, если вы хотите получить какую-либо производительность и уровень резервирования от сбоя.

Даже не думайте о том, что RAID 5 уже прошел, и вы потеряете данные. Диски SAS 10x300 ГБ в RAID 6 подойдут.

Тем не менее, если вы строите для будущего роста и удобства обслуживания, то стоит обратить внимание на выделенный файловый сервер NAS, который вы можете использовать для обмена файлами, а также в качестве основного хранилища для ваших серверов VM. Я имею в виду что-то из линейки хранилищ Dell или виртуальную платформу хранения Hitachi, а НЕ то, что предназначено для использования дома или в небольшом офисе.

Ищу совет, как спроектировать сеть, подходящую для небольшого офиса.

Поставьте дешевый выключатель в угол, проложите оттуда кабели. Какой дизайн там нужен?

Я недавно купил 16 ГБ оперативной памяти, четырехъядерный Mac mini Intel i7 для использования

Чувак, тебе правда нравится это дерьмо, или?

Когда я планировал свой небольшой офис (заметьте, в то время это было 4 человека + 3, работающих из дома), я выбрал 2x (мне не нравится, когда моя компания падает из-за сбоя сервера) системы micro ATX с 16 ГБ каждая (это было лет назад) и место для 8 жестких дисков. Сегодня я обновляю их до серверов AMD 64 ГБ, все еще micro ATX, и они все еще существуют.

Должен ли я создавать отдельные экземпляры виртуальных машин для каждого сервера или допустимо сгруппировать некоторые из серверов, например. Сервер LAMP и сервер Git?

Полностью зависит от того, что вы делаете, что вам нужно. Я был бы больше обеспокоен плохой производительностью жесткого диска и совершенно паршивым дисковым пространством, а также объемом оперативной памяти для любого реального использования.

Как защитить веб-сервер от локальной сети?

Зачем? Шутки в сторону. Хотя я полностью в безопасности, вы, кажется, думаете, что ваш маленький компьютер хранит медицинские данные. Если вы абсолютно не доверяете людям, с которыми работаете, с точки зрения безопасности это совершенно нереально. Тем более, что любой может просто выйти за дверь с вашим оборудованием.

Какое программное обеспечение виртуализации вы рекомендуете для такой настройки

Вы имеете в виду работу поверх Mac OS X, которую никто не будет использовать в качестве сервера?

А как насчет того, что вы используете что-то вроде Linux, Windows или VmWare в качестве сервера? Тогда это уместный вопрос.