In Fortsetzung meiner Reihe von Fragen für Systemadministratorenanfänger muss ich mich derzeit mit Folgendem befassen:
Dualprozessor 3 GHz Xeon 64-Bit Single Core, 4 GB RAM-Server
- Domänencontroller
- DNS Server
- Dateiserver
- IIS - ASP.NET
- SQL Server und Reporting Services
- Nur intern zugänglich
Einzelprozessor Dual-Core 3 GHz Xeon 64-Bit, 1 GB RAM-Server
- VPN
- Team Foundation Server
- Extern zugänglich (deshalb VPN)
Da meine Rolle eigentlich Softwareentwicklung ist und die Systemadministration eine untergeordnete Rolle darstellt, wurde mir beim Hinzufügen dieser Dienste klar, wie eng der primäre Server wurde. Besonders als ich herausfand, dassTeam Foundation Serverlässt sich nicht einmal auf einem Domänencontroller installieren.
An diesem Punkt habe ich angefangen, mich ernsthaft mit Hyper-V und Virtualisierung zu beschäftigen. Allerdings bin ich mir nicht sicher, wie ich die Maschinen am besten zuordnen sollte, wenn ich mich für die Virtualisierung entscheide. Soll ich den RAM auf beiden Servern aktualisieren und alles virtualisieren?
Wenn ich diesen Weg wähle, wird es bei Kaltstarts dann zu einem so großen Problem, wenn die Domänencontroller virtuell sind?
Wenn ich eine der virtuellen Maschinen auch für die VPN-Verwaltung sorge, erhöht sich dann das Sicherheitsrisiko für die Domäne, da die Maschine auch andere virtuelle Maschinen beherbergen würde? Im Zusammenhang mit dieser Frage stellt sich auch die Frage, was für die Installation eines Netzwerks auf einem nach außen gerichteten Server als akzeptabel gilt?
Und welche Trennungsebene verursacht schließlich mehr Aufwand als Nutzen? Wäre es sinnvoll, jede Hauptserverrolle in einer eigenen VM zu haben?
Antwort1
Sollte ich den RAM auf beiden Servern aktualisieren und alles virtualisieren?
Ja
Wenn ich diesen Weg wähle, wird es bei Kaltstarts dann zu einem so großen Problem, wenn die Domänencontroller virtuell sind?
Fügen Sie der Hyper-V-Hostmaschine die Domänencontrollerrolle hinzu. Dadurch können Sie sich auch dann authentifizieren, wenn der VM-Domänencontroller ausgefallen ist.
Wenn ich eine der virtuellen Maschinen auch für die VPN-Verwaltung sorge, erhöht sich dann das Sicherheitsrisiko für die Domäne, da auf der Maschine auch andere virtuelle Maschinen untergebracht würden?
Nein, aber wenn Sie paranoid sind, fügen Sie eine zusätzliche Netzwerkkarte hinzu und widmen Sie diese der VPN-VM. Jede VM ist wie eine normale Maschine. Jede Netzwerkkarte wird zu einem Switch-Uplink-Port.
Im Zusammenhang mit dieser Frage stellt sich auch die Frage, was für die Installation eines Netzwerks auf einem nach außen gerichteten Server als akzeptabel gilt.
Generell gilt: so wenig wie möglich. Ich bin mir nicht sicher, nach welchen Details Sie hier suchen. Ich würde den VPN-Server auf jeden Fall zu einer separaten VM machen. Die restlichen Rollen/Server, die Sie ausführen möchten, können Sie beliebig aufteilen. Je feiner Sie die Rollen gliedern, desto flexibler sind Sie bei der Aufteilung der Ressourcen. Der Nachteil ist, dass der Overhead größer ist, als wenn Rollen/Server kombiniert würden.
Antwort2
Keiner dieser Server sieht besonders leistungsstark aus. An Ihrer Stelle würde ich (das habe ich tatsächlich getan!) bei eBay nach einem Poweredge 2950 oder 2900 suchen und ihn als Hyper-V-Server aufbauen. Achten Sie darauf, dass Sie einen Server mit mindestens einem Jahr Dell-Garantie erhalten. Die Garantie ist übertragbar und Sie können sie auf der Dell-Website anhand der Server-Tag-Nummer überprüfen.
Ich würde Hyper-V nicht auf dem DC installieren. Ich würde DC und Dateiserver getrennt halten. Die für Hyper-V benötigten zusätzlichen Netzwerkkarten verursachen auf dem DC häufig Probleme, da sie in die DNS-Datenbank gelangen.
Der wahre Vorteil von Hyper-V liegt in der Verwaltung. Sie können damit Rollen trennen, sodass beispielsweise ein Update von TFS, das einen Neustart erfordert, keine Auswirkungen auf Exchange/Dateidienste usw. hat. Außerdem vereinfacht es die Serversicherung und reduziert den Aufwand für Service Packing erheblich.
JR
Bezüglich Chris‘ Frage zu synthetischen Netzwerkkarten:
Der Begriff „synthetisch“ bezeichnet lediglich ein virtualisiertes Gerät, obwohl es sich um eine spezielle Art der Virtualisierung handelt. Siehehttp://technet.microsoft.com/en-us/magazine/cc895595.aspxfür viele Informationen. Suchen Sie nach dem Abschnitt „Device-Sharing-Architektur“.
Hyper-V verwendet eine Technik namens Paravirtualisierung. Es gibt viele Diskussionen darüber, in welchem Ausmaß es wirklich paravirtualisiert ist, aber der Sinn der Paravirtualisierung besteht darin, dass die Gerätevirtualisierung von einer Schicht durchgeführt wird, die sogar unter dem Host-Betriebssystem liegt. Das bedeutet, dass das Host-Betriebssystem die virtuellen Geräte sehen und verwenden kann. Solange Sie keine der Host-NICs an ein virtuelles Netzwerk binden, sehen sie für den Host wie normale NICs aus. Aber wenn Sie eine NIC an ein virtuelles Netzwerk binden, wird sie durch eine synthetische (d. h. virtuelle) NIC ersetzt.auch für den Gastgeber.
Aus diesem Grund empfiehlt MS übrigens, immer eine echte Netzwerkkarte nicht an ein virtuelles Netzwerk gebunden zu lassen, da die Leistung dieser nicht virtualisierten Netzwerkkarte besser ist als die einer synthetischen Netzwerkkarte.
Daher ist es ein unterschätzter Aspekt von Hyper-V, dass sogar der Host praktisch eine virtuelle Maschine ist.