O host de virtualização deve ter permissão para executar qualquer serviço?

10

Recentemente, configurei um servidor de virtualização para a pequena empresa que estou executando. Este servidor executa algumas máquinas virtuais que são usadas para desenvolvimento, teste, etc ...

Meu parceiro de negócios trabalha em um local remoto, portanto, também instalei um servidor vpn no host de virtualização para possibilitar que ele alcance com segurança os serviços da empresa. Além disso, novamente no host de virtualização, instalei o bacula para executar o backup dos dados.

É aconselhável / boa prática fazê-lo ou devo criar mais uma máquina virtual para fazer backups e VPN? É uma má ideia executar esses serviços no próprio host? Se sim, por quê?

    
por Giordano 13.10.2012 / 22:08

2 respostas

9

O host de virtualização deve ser a máquina mais segura que você possui. A máquina mais segura é aquela que não está conectada a nenhuma rede; -)

Tendo isso em mente, é melhor não oferecer serviços em suas interfaces públicas. Você não deveria nem ter um IP lá (uma bridge para VMs é layer2).

Pense no host da VM como DMZ: o tráfego para ele é proibido, originando nenhum problema.

Então, no seu exemplo:

  • VNC: Bad - este é um serviço de entrada
  • Backup: sem problemas - as sessões são iniciadas daqui para o exterior

Mas, mesmo assim, você só deve executar serviços que não consomem memória RAM / CPU / IO no host da VM, senão suas máquinas virtuais sofrerão com a falta de recursos.

    
por 13.10.2012 / 22:23
5

Sugiro separar as funções da VPN para um firewall baseado em hardware ou dispositivo separado ... Por exemplo, o que acontece se o servidor estiver inoperante?

Mas, em vez disso, é possível usar seu host de virtualização existente como o terminal para sua VPN. Os backups também não são necessariamente um problema.

Isso soa como uma pequena configuração (que tipo de hardware você está usando?), mas se você está perguntando, talvez você tenha algumas reservas? Por que você acha que pode não ser uma boa ideia?

    
por 13.10.2012 / 22:21