A execução de um servidor DNS no XenServer é uma má ideia?

2

Eu tenho um cluster de servidores executando o Xenserver 5.6 que hospedam serviços de e-mail da web e VoIP. Atualmente, estou pensando em configurar um servidor de bind chrooted em cada host Xenserver (ou seja, no servidor real, não dentro de uma VM)

É uma má ideia?

    
por edude05 11.07.2010 / 13:39

1 resposta

6

Como regra geral, aconselho a não executar o mínimo absoluto de serviços no Xen Dom0 (o domínio privilegiado que tem acesso total ao hardware e a todas as máquinas virtuais no host).

Isto é principalmente por motivos de segurança - você deve, como regra geral, apenas executar serviços essenciais nas máquinas que têm o maior valor para você - se seu Dom0 estiver comprometido, todas as suas Doms (VMs convidadas) também serão efetivamente comprometida, pois o invasor tem acesso ao console de cada VM.

Se você quer rodar alguns servidores de nomes, e eles são voltados para o público e autoritários, não há problema em executá-los como máquinas virtuais, mas você deve fazer todos os esforços para executá-los (você sempre precisa de pelo menos dois) em segmentos de rede totalmente separados para garantir a disponibilidade. Por exemplo:

ns1.redhat.com. 463 IN A 66.187.233.210

ns2.redhat.com. 463 IN A 209.132.183.2

ns3.redhat.com. 462 IN A 209.132.176.100

    
por 11.07.2010 / 16:45