Servidor dedicado, várias VMs na parte de trás, HyperV Up Front… Onde coloco o TMG?

1

Como uma pergunta de acompanhamento para Como faço para hospedar vários servidores no HyperV com apenas alguns endereços IP públicos Agora estou tentando descobrir onde colocar o servidor ISA / TMG? Deve ser virtualizado, ouvir em um IP externo e enviar dados entre uma rede interna ou deve estar hospedado na partição host? A última vez que eu joguei com o ISA / TMG, era uma caixa física, e havia outras máquinas atrás, então isso me faz pensar na opção virtual. Dê-lhe 2 IPs públicos, e deixe-o resolver o resto ... dê 1 IP à própria caixa para gerenciamento ... Qual o caminho que deve funcionar?

    
por TiernanO 07.11.2011 / 10:13

2 respostas

1

O TMG como uma VM funciona bem, e existe um vídeo technet que descreve vários cenários usando o TMG, apenas google "Virtualize seus servidores ISA ou Forefront TMG". Como sempre nestas coisas, há boas práticas, boas práticas e estupidez.

A melhor prática, como defendida pelo vid, é ter suas TMGs virtualizadas em hardware que é especificamente usado para tarefas de perímetro. Obviamente, isso não funcionará se você tiver apenas um servidor. No entanto, segmentar sua rede conforme recomendado pelo vid é facilmente realizável em um único cenário de servidor, desde que você tenha pelo menos três conexões de rede física.

  1. Um se tornará uma rede virtual / física (ou seja, virtual com acesso externo) conectando o VM TMG à Internet (ou seu roteador de gateway) - isso não deve ser usado para gerenciamento de hardware . Nas configurações do hyper V, eu nomeio essa rede como 'preta' porque é insegura e leva à grande parte externa.

  2. Uma será uma rede virtual (ou seja, sem acesso externo) conectando o VM TMG às VMs de destino - novamente, não usada para gerenciamento de hardware. Eu nomeio essa rede como "azul" porque ela é sensacionalmente segura e vincula todas as VMs.

  3. Uma é uma rede física (não utilizada de todo pelo Hyper V) usada puramente para o lan de gerenciamento de hardware. Eu nomeio esse 'gerenciamento' e a melhor prática é mantê-lo e o host fora da internet, ou apenas acessar a Internet do host para atualizações.

Logicamente, é assim:

Portanto, quando você atribui interfaces de rede virtual às suas VMs, a VM TMG recebe duas (preto e azul) e todas as outras VMs recebem apenas azul.

É bastante simples, a principal complexidade é o que você encontrará ao tentar entender como o Hyper V permite cooptar conexões de rede como 'comutadores virtuais'. Eu configurei o mesmo acima com uma rede 'preta' e uma rede 'azul' abrangendo um cluster multi-servidor e achei que funciona de forma brilhante. O salto básico da fé é que você tem que confiar que um desagradável na rede negra não pode pular através do host para a rede azul. O Hyper V foi classificado como EAL4 + para segurança de qualquer maneira, por isso é justo dizer que é improvável, a menos que seu host esteja drasticamente comprometido.

    
por 07.11.2011 / 12:22
0

Eu provavelmente faria uma VM para que, se você obtivesse outro host, tivesse HA para o serviço.

    
por 07.11.2011 / 10:48