Назад | Перейти на главную страницу

Следует ли разрешить хосту виртуализации запускать какие-либо службы?

Недавно я установил сервер виртуализации для небольшой компании, которой я управляю. На этом сервере работает несколько виртуальных машин, которые используются для разработки, тестирования и т. Д.

Мой деловой партнер работает из удаленного места, поэтому я также установил сервер vpn на хосте виртуализации, чтобы он мог безопасно обращаться к службам компании. Более того, снова на хосте виртуализации я установил bacula для резервного копирования данных.

Рекомендуется ли это делать или мне следует создать еще одну виртуальную машину для резервного копирования и VPN? Разве запускать эти службы на самом хосте - плохая идея? Если да, то почему?

Хост виртуализации должен быть самой безопасной машиной, которая у вас есть. Самая безопасная машина - та, которая вообще не подключена к сети ;-)

Имея это в виду, лучше не предлагать никаких услуг в общедоступных интерфейсах. У вас не должно быть там даже IP (мост для виртуальных машин - layer2).

Думайте о виртуальном хосте как о DMZ: трафик в него запрещен, не возникает никаких проблем.

Итак, в вашем примере:

  • VNC: Плохо - это входящий сервис
  • Резервное копирование: нет проблем - сеансы инициируются отсюда извне

Но даже в этом случае - вам следует запускать только службы, которые не потребляют RAM / CPU / IO на вашем хосте VM - иначе ваши виртуальные машины будут страдать от нехватки ресурсов.

Я бы предложил разделить функции VPN на аппаратный брандмауэр или отдельное устройство ... Например, что произойдет, если сервер не работает?

Но вместо этого можно использовать существующий хост виртуализации в качестве конечной точки для вашей VPN. Резервное копирование не обязательно является проблемой.

Это похоже на небольшую настройку (какое оборудование вы используете?), Но если вы спрашиваете, может быть, у вас есть какие-то оговорки? Почему ты думаете, что это может быть не очень хорошая идея?