Como devo configurar meu servidor Hyper-V e a topologia de rede?

Navegue suas respostas
5

Esta é a primeira vez que eu configuro o Hyper-V ou o Windows 2008, então, por favor, tenha paciência comigo.

Estou configurando um servidor bem decente que executa o Windows Server 2008 R2 para ser um host Hyper-V remoto (colocado). Ele hospedará VMs Linux e Windows, inicialmente para desenvolvedores usarem, mas também para realizar algumas tarefas de hospedagem na Web e outras tarefas. Atualmente eu tenho duas VMs, uma do Windows e uma do Ubuntu Linux, rodando muito bem, e pretendo cloná-las para uso futuro.

Neste momento, estou considerando as melhores maneiras de configurar o acesso de desenvolvedores e administradores ao servidor, depois que ele é movido para o local de instalação, e estou procurando orientação sobre isso. Meu pensamento é configurar uma VPN para acesso a determinados recursos das VMs no servidor, mas tenho algumas opções diferentes para fazer isso:

  1. Conecte o servidor a um firewall de hardware existente (um Netscreen 5-GT antigo) que pode criar uma VPN e mapear IPs externos para as VMs, que terão seus próprios IPs expostos por meio da interface virtual. Um problema com esta escolha é que eu sou o único treinado no Netscreen, e sua interface é um pouco barroca, então outros podem ter dificuldade em mantê-lo. A vantagem é que eu já sei como fazê-lo e sei que ele fará o que eu preciso.

  2. Conecte o servidor diretamente à rede e configure o firewall do Windows 2008 para restringir o acesso às VMs e configurar uma VPN. Eu não fiz isso antes, então ele terá uma curva de aprendizado, mas estou disposto a aprender se essa opção é melhor a longo prazo do que a Netscreen. Outra vantagem é que não precisarei treinar ninguém na interface do Netscreen. Ainda assim, não tenho certeza se os recursos do firewall de software do Windows, tanto quanto a criação de VPNs, a criação de regras para o acesso externo a determinadas portas nos IPs de servidores Hyper-V, etc. Será suficiente para minhas necessidades e fácil o suficiente para configurar / manter?

Mais alguma coisa? Quais são as limitações das minhas abordagens? Quais são as melhores práticas / o que funcionou bem para você? Lembre-se de que preciso configurar o acesso do desenvolvedor, bem como o acesso do consumidor a alguns serviços. Uma VPN é a escolha certa?

Editar: provavelmente irei usar a opção 2, com o RRAS configurado para criar uma VPN, mas ainda estou interessado em sua entrada.

    
por Daniel Waechter 08.06.2010 / 04:22

2 respostas

1

Eu pessoalmente tenho um firewall físico separado (Netscreen ou qualquer que seja o seu conforto) que lide com a VPN separadamente e invista em um sistema de gerenciamento fora de banda (como o DRAC da Dell) para fornecer acesso de baixo nível seu servidor (e porta do console do firewall se / quando você quiser atualizar seu firmware) em caso de suspensão ou falha (confie em mim: isso acontecerá) VMs ou host, ou quando você quiser fazer atualizações do Windows sem preocupações, etc. / p>

O Netscreen deve oferecer suporte ao acesso VPN via IPSec com um benefício adicional de dois fatores (certificados e senhas) para autenticação. Já faz um tempo desde que eu usei um, mas acredito que eles têm várias opções de VPN disponíveis.

Usar um firewall de hardware (ou, na verdade, um appliance "Unified Threat Management" como firewalls com todos os recursos que a maioria deles tem hoje em dia) também lhe dará alguma flexibilidade no que diz respeito à proxy SMTP / DNS solicitações, DMZs etc. quando você se muda para um ambiente de hospedagem na Web de produção.

    
por 10.06.2010 / 05:08
0

O firewall é desnecessário. Especialmente para o host ahyper-v. A maioria dos hosts tem de duas a três placas de rede. Use ONE para hyper-v, NÃO permita que o próprio hyper-v seja usado lá (isto é, somente para VMs) e você não atenda ao hyper-v para proteger o servidor;)

Por outro - use o firewall do Windows SOMENTE permita desktop remoto. Feito.

    
por 11.11.2010 / 07:54

Tags

Problema RDP / Remote Desktop Estranho Mover e-mails em pastas públicas sem copiar