Hyper-V または Windows 2008 をセットアップするのは今回が初めてですので、ご容赦ください。
私は、Windows Server 2008 R2 を実行するかなり優れたサーバーを、リモート (共存) Hyper-V ホストとしてセットアップしています。このサーバーは、Linux および Windows VM をホストします。最初は開発者が使用し、最終的には Web ホスティングやその他のタスクも実行します。現在、Windows と Ubuntu Linux の 2 つの VM が問題なく動作しており、将来使用するためにクローンを作成する予定です。
現在、コロケーション施設に移動した後、サーバーへの開発者および管理者のアクセスを構成する最善の方法を検討しており、その点についてアドバイスを求めています。サーバー上の VM の特定の機能にアクセスするために VPN を設定することを考えていますが、これを実行するにはいくつかの異なるオプションがあります。
サーバーを既存のハードウェア ファイアウォール (やや古い Netscreen 5-GT) に接続します。このファイアウォールは VPN を作成し、外部 IP を VM にマッピングできます。VM は仮想インターフェイスを通じて独自の IP を公開します。この選択の問題点は、Netscreen のトレーニングを受けたのは私だけであり、そのインターフェイスが少々複雑であるため、他の人がメンテナンスするのは難しいかもしれないことです。利点は、その方法をすでに知っていて、必要なことが行われることがわかっていることです。
サーバーをネットワークに直接接続し、Windows 2008 ファイアウォールを構成して VM へのアクセスを制限し、VPN を設定します。これはこれまで行ったことがないので、学習が必要ですが、このオプションが長期的には Netscreen よりも優れているかどうかは学習するつもりです。もう 1 つの利点は、Netscreen インターフェイスについて誰かをトレーニングする必要がないことです。それでも、VPN の作成、Hyper-V サーバーの IP の特定のポートへの外部アクセスのルールの設定など、Windows ソフトウェア ファイアウォールの機能が十分であるかどうかはわかりません。これは私のニーズに十分であり、セットアップや保守が簡単でしょうか?
他に何かありますか? 私のアプローチの限界は何ですか? ベストプラクティス/うまくいったことは何ですか? 一部のサービスでは、消費者アクセスだけでなく開発者アクセスも設定する必要があることに注意してください。VPN は適切な選択でしょうか?
編集:おそらくオプション 2 を使用して RRAS を設定し、VPN を作成するつもりですが、それでも皆さんの意見を聞きたいと思っています。
答え1
私なら個人的には、VPN を個別に処理する別の物理ファイアウォール (Netscreen または使い慣れたもの) を用意し、アウトオブバンド管理システム (Dell の DRAC など) に投資して、VM またはホストがハングまたはクラッシュした場合 (信じてください、これは必ず起こります)、または安心して Windows Update などを実行したい場合に備えて、サーバー (およびファームウェアを更新する場合はファイアウォールのコンソール ポート) への低レベル アクセスを提供します。
Netscreen は、認証に 2 要素 (証明書とパスフレーズ) という追加の利点を備えた IPSec モバイル VPN アクセスをサポートする必要があります。使用してからしばらく経ちますが、いくつかの VPN オプションが利用できると思います。
ハードウェア ファイアウォール (または、実際には、最近のファイアウォールのほとんどに備わっているすべての機能を備えた「統合脅威管理」アプライアンス) を使用すると、将来的に実稼働 Web ホスティング環境に移行するときに、SMTP/DNS 要求、DMZ などのプロキシに関してある程度の柔軟性が得られます。
答え2
ファイアウォールは不要です。特に Hyper-V ホストの場合。ほとんどのホストには 2 ~ 3 枚のネットワーク カードがあります。Hyper-V には 1 枚だけ使用し、Hyper-V 自体をそこで使用しないでください (つまり、VM のみ)。また、サーバーを保護するために Hyper-V を使用する必要はありません。
もう 1 つは、Windows ファイアウォールを使用してリモート デスクトップのみを許可することです。完了です。