Я хочу реплицировать виртуальные машины, которые находятся на клиентских сайтах, в наш кластер. Наш кластер состоит из 3 Hyper-V, объединенных вместе с san в качестве хранилища. Кластер находится в домене. Посредник реплик настроен, но имеет ту же подсеть, что и кластер, поскольку он принимает только сеть хостов.
Так можно ли реплицировать удаленные виртуальные машины в наш кластер из разных доменов.
Есть ли способ без проблем реплицировать виртуальные машины с разных сайтов в наш кластер?
Репликация с использованием порта 443 - рекомендуемый метод?
В кластер можно реплицировать внешние виртуальные машины из разных доменов. Вы просто должны помнить, что:
Реплика Hyper-V не будет работать, если исходный хост не может проверить идентичность целевого хоста, и наоборот. Это хорошо, но может и надоедать. У вас есть два варианта: проверка подлинности Kerberos и проверка подлинности на основе сертификатов.
Случай 1: Если эти сайты связаны с VPN-туннель, вы можете настроить TRUSTS между доменами Active Directory или лесами Active Directory (в зависимости от вашей ситуации), а затем использовать Kerberos как аутентификация метод. В этом случае трафик реплики Hyper-V будет по умолчанию настроен на порт 80 и будет выполняться в незашифрованном виде, но у вас есть VPN-соединение, так что все должно быть в порядке.
Случай 2: Вы не хотите или не можете установить доверительные отношения между этими двумя доменами. Тогда Вы используете аутентификацию на основе сертификатов, и если да, то вы не следует использовать VPN-соединение между этими двумя сайтами для реплики Hyper-V, потому что с Cert. Авт. весь трафик зашифрован (Пока закрытые ключи хостов должным образом защищены, передача трафика реплики Hyper-V на основе сертификатов напрямую через Интернет настолько безопасна, насколько это возможно.)
Вот хороший Почта.
Если трафик вашей реплики будет напрямую проходить через незащищенную сеть (Интернет), не используйте проверку подлинности Kerberos. Исходный сервер и сервер-реплика будут безопасно аутентифицировать друг друга, но трафик реплик не зашифрован. Однако, если вы используете безопасный туннель, такой как VPN типа "сеть-сеть", смело используйте Kerberos. Нет смысла использовать зашифрованный туннель для передачи зашифрованного трафика. Кроме того, поскольку шифрование на основе сертификатов асимметрично, зашифрованные пакеты намного больше, чем незашифрованный источник. Двойное шифрование резко увеличивает размер полезной нагрузки.
А по поводу VPN и подсетей:
Меня беспокоит создание VPN между клиентским сайтом и подсетью посредника реплик, поскольку подсеть посредника реплик совпадает с подсетью моего домена, а узлы Hyper-V в кластере находятся в домене.
Создавать VPN или нет, зависит от выбранного вами пути. В любом случае, я не вижу проблемы в том, чтобы брокер реплики находился в той же подсети, что и подсеть вашего домена и хосты Hyper-V. Меня беспокоит только использование полосы пропускания реплики и ее влияние на мою сеть. Имейте в виду, что Hyper-V Replica позволяет выполнять начальную репликацию с помощью переносных носителей.
