У меня есть Dell PowerEdge R710, который в настоящее время используется в локальной сети для размещения некоторых виртуальных машин. Он работает под управлением стандарта Windows Server 2016 в качестве операционных систем хоста, и все VMS работают в Hyper-V.
Поскольку у него есть 4 сетевых адаптера, я думаю предоставить один сетевой адаптер для интерфейса WAN и предоставить его PfSense (или Sophos), работающему на моем Hyper-V. а затем из локальной сети из другого сетевого адаптера на сервере, я хотел бы подключить его к интеллектуальному коммутатору, а затем оттуда я хотел бы использовать два других сетевых адаптера для использования портов локальной сети .. Вот как это выглядит:
WAN -> NIC1 на PE R710 -> PFSense, работающий в Hyper-V -> NIC2 на PE R710 -> коммутатор -> NIC3 и NIC4 на PE R710
Я не знаю, является ли это идеальным сценарием, потому что я хочу убедиться, что из WAN трафик всегда попадает в PFSense, а затем течет внутри моей LAN.
У меня вопрос: открывает ли эта настройка мою ОС хоста (Windows Server 2016) на сервере и всех базовых виртуальных машинах? Мне нужно запустить Freenas и другие важные виртуальные машины, которые я не хочу выставлять снаружи.
Как я могу гарантировать, что ОС HOST может быть доступна только в пределах LAN и всегда использовать сетевые адаптеры, которые доступны для LAN, а не для WAN?
Это действительно идеальная установка? В настоящее время я запускаю PfSense на отдельном компьютере, и я хочу объединить все свои устройства на этом сервере и просто запустить все внутри.
Сколько будет энергопотребление PE R710 по сравнению с работой трех компьютеров Core2Duo. Согласно моему исследованию, было бы рентабельно запускать все три виртуальные машины на сервере, чем запускать на трех отдельных машинах.
Пожалуйста, дайте мне знать, если я не совсем понимаю эту настройку. Буду рад уточнить.
Большое спасибо.
Есть вероятность, что другие ваши приложения на хосте будут открыты, но можно принять разумные меры против этого. Ваше оборудование становится маршрутизатором, поэтому его необходимо сделать максимально защищенным. Если ваша WAN предоставляется маршрутизатором, которым вы управляете, возможно, вам не нужно делать свой сервер маршрутизатором.
Похоже, главное, что нужно сделать, - это выделить свой порт WAN для Hyper-V, см. Этот вопрос: Как выделить сетевой адаптер для виртуальной машины в Hyper-V
Не разрешайте операционной системе управления использовать этот сетевой адаптер. Тогда ваши приложения не будут пытаться использовать порт WAN.
Затем вам нужно будет использовать функции брандмауэра в pfSense. По умолчанию блокировать все и разрешать только необходимый сетевой трафик. Какие бы приложения не использовали этот трафик, он должен быть безопасным и актуальным. pfSense необходимо поддерживать в актуальном состоянии, если есть какие-либо уязвимости, они будут иметь доступ к pfSense и оттуда к остальной части вашей сети.
BIOS и микропрограммное обеспечение Dell для Ethernet также необходимо обновлять, поскольку могут быть некоторые уязвимости низкого уровня.