Hyper-V 또는 Windows 2008을 설정하는 것은 이번이 처음이므로 양해해 주시기 바랍니다.
저는 Windows Server 2008 R2를 실행하는 꽤 괜찮은 서버를 원격(공동 배치) Hyper-V 호스트로 설정하고 있습니다. 처음에는 개발자가 사용할 수 있도록 Linux 및 Windows VM을 호스팅하지만 결국 일부 웹 호스팅 및 기타 작업도 수행하게 됩니다. 현재 Windows와 Ubuntu Linux라는 두 개의 VM이 꽤 잘 실행되고 있으며 나중에 사용할 수 있도록 복제할 계획입니다.
현재 저는 서버가 코로케이션 시설로 이동된 후 서버에 대한 개발자 및 관리자 액세스를 구성하는 가장 좋은 방법을 고려하고 있으며 이에 대한 조언을 구하고 있습니다. 내 생각은 서버에 있는 VM의 특정 기능에 액세스하기 위해 VPN을 설정하는 것이지만 이에 대한 몇 가지 다른 옵션이 있습니다.
VPN을 생성하고 가상 인터페이스를 통해 자체 IP가 노출되는 VM에 외부 IP를 매핑할 수 있는 기존 하드웨어 방화벽(구형 Netscreen 5-GT)에 서버를 연결합니다. 이 선택의 한 가지 문제점은 Netscreen에 대해 교육받은 유일한 사람이고 그 인터페이스가 약간 바로크식이므로 다른 사람들이 이를 유지하는 데 어려움을 겪을 수 있다는 것입니다. 장점은 내가 이미 어떻게 해야 하는지 알고 있고, 그것이 나에게 필요한 일을 해 줄 것이라는 것을 알고 있다는 것입니다.
서버를 네트워크에 직접 연결하고 Windows 2008 방화벽을 구성하여 VM에 대한 액세스를 제한하고 VPN을 설정합니다. 이전에 이 작업을 수행한 적이 없으므로 학습 곡선이 있을 것이지만 이 옵션이 Netscreen보다 장기적으로 더 나은지 알아보고 싶습니다. 또 다른 장점은 Netscreen 인터페이스에 대해 누구에게도 교육할 필요가 없다는 것입니다. 하지만 VPN 생성, Hyper-V 서버 IP의 특정 포트에 대한 외부 액세스 규칙 설정 등 Windows 소프트웨어 방화벽의 기능이 내 요구 사항에 충분하고 쉬울지 확실하지 않습니다. 설정/유지하기에 충분합니까?
다른 건 없나요? 내 접근 방식의 한계는 무엇입니까? 모범 사례는 무엇입니까/당신에게 효과가 있었던 것은 무엇입니까? 일부 서비스에 대한 소비자 액세스는 물론 개발자 액세스도 설정해야 한다는 점을 기억하세요. VPN이 올바른 선택일까요?
편집하다:VPN을 생성하기 위해 RRAS가 설정된 옵션 2를 사용할 것 같지만 여전히 귀하의 의견에 관심이 있습니다.
답변1
저는 개인적으로 VPN을 별도로 처리하고 서버에 대한 낮은 수준의 액세스를 제공하기 위해 대역 외 관리 시스템(예: Dell의 DRAC)에 투자하는 별도의 물리적 방화벽(Netscreen 또는 귀하가 편한 모든 것)을 갖고 싶습니다( 방화벽의 콘솔 포트(펌웨어를 업데이트하려는 경우) VM 또는 호스트가 중단되거나 충돌한 경우(저를 믿으십시오. 이런 일이 발생합니다) 또는 걱정 없이 Windows 업데이트를 수행하려는 경우 등입니다.
Netscreen은 인증을 위한 2단계(인증서 및 암호 문구)의 추가 이점과 함께 IPSec 모바일 VPN 액세스를 지원해야 합니다. 사용한 지 꽤 됐지만 사용 가능한 VPN 옵션이 여러 개 있다고 생각합니다.
하드웨어 방화벽(또는 실제로 요즘 대부분의 부가 기능을 갖춘 방화벽인 "통합 위협 관리" 어플라이언스)을 사용하면 SMTP/DNS 요청, DMZ 프록시와 관련하여 향후 어느 정도 유연성을 얻을 수 있습니다. , 프로덕션 웹 호스팅 환경으로 이동할 때 등.
답변2
방화벽은 불필요합니다. 특히 Hyper-V 호스트의 경우. 대부분의 호스트에는 어쨌든 2-3개의 네트워크 카드가 있습니다. Hyper-V에는 ONE을 사용하고 Hyper-V 자체를 그곳에서 사용하는 것을 허용하지 마십시오(즉, VM에만 해당). 서버를 보호하기 위해 Hyper-V에 주의를 기울이지 마십시오.
다른 하나는 Windows 방화벽을 사용하여 원격 데스크톱만 허용하는 것입니다. 완료.