Esta es la primera vez que configuro Hyper-V o Windows 2008, así que tengan paciencia.
Estoy configurando un servidor bastante decente que ejecuta Windows Server 2008 R2 para que sea un host Hyper-V remoto (colocado). Alojará máquinas virtuales Linux y Windows, inicialmente para que las utilicen los desarrolladores, pero eventualmente también para realizar alojamiento web y otras tareas. Actualmente tengo dos máquinas virtuales, una Windows y otra Ubuntu Linux, que funcionan bastante bien y planeo clonarlas para usarlas en el futuro.
En este momento estoy considerando las mejores formas de configurar el acceso de desarrollador y administrador al servidor una vez que se haya trasladado a las instalaciones de colocación, y estoy buscando asesoramiento al respecto. Mi idea es configurar una VPN para acceder a ciertas funciones de las máquinas virtuales en el servidor, pero tengo algunas opciones diferentes para hacerlo:
Conecte el servidor a un firewall de hardware existente (un Netscreen 5-GT antiguo) que pueda crear una VPN y asignar direcciones IP externas a las máquinas virtuales, que tendrán sus propias direcciones IP expuestas a través de la interfaz virtual. Un problema con esta elección es que soy el único que está capacitado en Netscreen y su interfaz es un poco barroca, por lo que otros pueden tener dificultades para mantenerla. La ventaja es que ya sé cómo hacerlo y sé que hará lo que necesito.
Conecte el servidor directamente a la red y configure el firewall de Windows 2008 para restringir el acceso a las máquinas virtuales y configurar una VPN. No he hecho esto antes, por lo que tendrá una curva de aprendizaje, pero estoy dispuesto a saber si esta opción es mejor a largo plazo que Netscreen. Otra ventaja es que no tendré que formar a nadie en la interfaz de Netscreen. Aún así, no estoy seguro de si las capacidades del software firewall de Windows en cuanto a crear VPN, configurar reglas para acceso externo a ciertos puertos en las IP de servidores Hyper-V, etc. ¿Será suficiente para mis necesidades y fácil? ¿Suficiente para configurar/mantener?
¿Algo más? ¿Cuáles son las limitaciones de mis enfoques? ¿Cuáles son las mejores prácticas/qué ha funcionado bien para usted? Recuerde que necesito configurar el acceso de desarrollador y de consumidor a algunos servicios. ¿Es una VPN la opción correcta?
Editar:Probablemente voy a usar la opción 2, con RRAS configurado para crear una VPN, pero todavía estoy interesado en sus comentarios.
Respuesta1
Personalmente, tendría un firewall físico separado (Netscreen o lo que le resulte más cómodo) que maneje la VPN por separado e invertiría en un sistema de administración fuera de banda (como el DRAC de Dell) para brindarle acceso de bajo nivel a su servidor ( y el puerto de consola del firewall si desea actualizar su firmware) en caso de que las máquinas virtuales o el host se bloqueen o bloqueen (créame: esto sucederá), o cuando desee realizar actualizaciones de Windows sin preocupaciones, etc.
Netscreen debe admitir el acceso VPN móvil IPSec con el beneficio adicional de dos factores (certificados y frases de contraseña) para la autenticación. Ha pasado un tiempo desde que usé uno, pero creo que tienen varias opciones de VPN disponibles.
Optar por un firewall de hardware (o realmente, un dispositivo de "Gestión unificada de amenazas" como firewalls con todas las comodidades que la mayoría de ellos tienen hoy en día) también le brindará cierta flexibilidad en el futuro con respecto al proxy de solicitudes SMTP/DNS, DMZ. , etc. cuando se traslada a un entorno de alojamiento web de producción.
Respuesta2
El cortafuegos es innecesario. Especialmente para un host Hyper-V. De todos modos, la mayoría de los hosts tienen entre 2 y 3 tarjetas de red. Use ONE para Hyper-V, NO permita que Hyper-V se use allí (es decir, solo para máquinas virtuales) y no preste atención a Hyper-V allí para proteger el servidor;)
Por otro lado, use el firewall de Windows SOLO para permitir el escritorio remoto. Hecho.