Недавно я установил сервер виртуализации для небольшой компании, которой я управляю. На этом сервере работает несколько виртуальных машин, которые используются для разработки, тестирования и т. Д.
Мой деловой партнер работает из удаленного места, поэтому я также установил сервер vpn на хосте виртуализации, чтобы он мог безопасно обращаться к службам компании. Более того, снова на хосте виртуализации я установил bacula для резервного копирования данных.
Рекомендуется ли это делать или мне следует создать еще одну виртуальную машину для резервного копирования и VPN? Разве запускать эти службы на самом хосте - плохая идея? Если да, то почему?
Хост виртуализации должен быть самой безопасной машиной, которая у вас есть. Самая безопасная машина - та, которая вообще не подключена к сети ;-)
Имея это в виду, лучше не предлагать никаких услуг в общедоступных интерфейсах. У вас не должно быть там даже IP (мост для виртуальных машин - layer2).
Думайте о виртуальном хосте как о DMZ: трафик в него запрещен, не возникает никаких проблем.
Итак, в вашем примере:
Но даже в этом случае - вам следует запускать только службы, которые не потребляют RAM / CPU / IO на вашем хосте VM - иначе ваши виртуальные машины будут страдать от нехватки ресурсов.
Я бы предложил разделить функции VPN на аппаратный брандмауэр или отдельное устройство ... Например, что произойдет, если сервер не работает?
Но вместо этого можно использовать существующий хост виртуализации в качестве конечной точки для вашей VPN. Резервное копирование не обязательно является проблемой.
Это похоже на небольшую настройку (какое оборудование вы используете?), Но если вы спрашиваете, может быть, у вас есть какие-то оговорки? Почему ты думаете, что это может быть не очень хорошая идея?