Я впервые настраиваю Hyper-V или Windows 2008, так что, пожалуйста, терпите меня.
Я настраиваю довольно приличный сервер под управлением Windows Server 2008 R2 в качестве удаленного (размещенного) хоста Hyper-V. На нем будут размещаться виртуальные машины Linux и Windows, первоначально для разработчиков, но в конечном итоге также для выполнения некоторых задач веб-хостинга и других задач. В настоящее время у меня есть две виртуальные машины, одна Windows и одна Ubuntu Linux, которые работают довольно хорошо, и я планирую клонировать их для будущего использования.
Прямо сейчас я обдумываю, как лучше всего настроить доступ разработчика и администратора к серверу после того, как он будет перемещен в центр размещения, и мне нужен совет по этому поводу. Я думаю настроить VPN для доступа к определенным функциям виртуальных машин на сервере, но у меня есть несколько разных вариантов для этого:
Подключите сервер к существующему аппаратному брандмауэру (старый Netscreen 5-GT), который может создать VPN и сопоставить внешние IP-адреса виртуальным машинам, которые будут иметь свои собственные IP-адреса, доступные через виртуальный интерфейс. Одна из проблем с этим выбором заключается в том, что я единственный, кто обучался работе с Netscreen, а его интерфейс немного причудлив, поэтому у других могут возникнуть трудности с его обслуживанием. Преимущество в том, что я уже знаю, как это делать, и знаю, что он сделает то, что мне нужно.
Подключите сервер напрямую к сети и настройте брандмауэр Windows 2008 для ограничения доступа к виртуальным машинам и настройте VPN. Я не делал этого раньше, поэтому потребуется время для обучения, но я хочу узнать, будет ли этот вариант лучше в долгосрочной перспективе, чем Netscreen. Еще одно преимущество состоит в том, что мне не придется никого обучать работе с интерфейсом Netscreen. Тем не менее, я не уверен, что возможности программного брандмауэра Windows в том, что касается создания VPN, настройки правил внешнего доступа к определенным портам на IP-адресах серверов Hyper-V и т. Д. Будет ли этого достаточно для моих нужд и легко Достаточно настроить / поддерживать?
Что-нибудь еще? Какие ограничения у моих подходов? Каковы лучшие практики / что сработало для вас? Помните, что мне нужно настроить доступ разработчика, а также доступ потребителей к некоторым службам. Является ли VPN даже правильным выбором?
Редактировать: Я, вероятно, собираюсь использовать вариант 2 с RRAS, настроенным для создания VPN, но меня все еще интересует ваш вклад.
Я лично хотел бы иметь отдельный физический брандмауэр (Netscreen или что-то еще, что вам удобно), который обрабатывает VPN отдельно и вкладывает средства в систему внеполосного управления (например, Dell DRAC), чтобы предоставить вам низкоуровневый доступ к вашему серверу ( и консольный порт брандмауэра, если / когда вы хотите обновить прошивку) в случае зависания или сбоя (поверьте мне: это произойдет) виртуальных машин или хоста, или когда вы хотите без проблем обновлять Windows и т. д.
Netscreen должен поддерживать мобильный VPN-доступ IPSec с дополнительным преимуществом двухфакторной аутентификации (сертификаты и парольные фразы). Прошло некоторое время с тех пор, как я использовал один, но я считаю, что у них есть несколько доступных вариантов VPN.
Использование аппаратного брандмауэра (или, на самом деле, устройства «Unified Threat Management» в качестве брандмауэров со всеми наворотами, которые есть у большинства из них в настоящее время) также даст вам некоторую гибкость в отношении проксирования запросов SMTP / DNS, DMZ и т. д. при переходе в рабочую среду веб-хостинга.
Брандмауэр не нужен. Специально для хоста ahyper-v. В любом случае у большинства хостов есть 2-3 сетевых карты. Используйте ОДИН для Hyper-v, НЕ позволяйте использовать там Hyper-v (т.е. только для виртуальных машин), и вы не обращаете внимания на Hyper-v для защиты сервера;)
С другой - используйте брандмауэр Windows ТОЛЬКО для удаленного рабочего стола. Готово.