여러 VM을 실행하는 하나의 물리적 어댑터가 있는 Win2008 R2 HyperV 호스트가 있습니다. 외부 IP 주소의 서브넷이 있습니다: xxx208 / 255.255.255.240
나는 다음과 같은 설정을 사용했습니다.
호스트 OS에는 AD DC, HyperV, RRAS, DHCP 및 DNS 역할이 있습니다. 물리적 어댑터에는 사용 가능한 모든 IP 주소가 명시적으로 할당되어 있습니다.
xxx210 / 255.255.255.240
...
xxx221 / 255.255.255.240
HyperV 네트워크에는 하나의 외부 네트워크가 생성되지만 "관리 OS에서 어댑터 공유 허용" 옵션이 켜져 있으면 호스트 OS에도 공용 IP를 할당할 수 있습니다.
HyperV는 내부 LAN(192.168.2.0/255)에 사용되는 또 다른 네트워크 어댑터를 만들었습니다. RRAS는 NAT 및 LAN 라우팅용으로 설정되었으며 다음과 같이 게스트에 대해 NAT를 수행합니다.
xxx210 -> 192.168.2.10, 들어오는 세션 허용 = YES
...
xxx221 -> 192.168.2.21, 들어오는 세션 허용 = YES
따라서 기본적으로 모든 게스트 VM에는 외부 IP 주소가 없었지만 이는 중요하지 않았습니다. 여전히 인터넷에 액세스할 수 있었고 외부에서도 액세스할 수 있었습니다.
그런 다음 RRAS, VPN 등에 문제가 발생하기 시작했습니다. 그래서 NAT 스키마가 좋지 않다는 내용을 읽고 읽었으며( could someone comment on this btw?) 게스트 VM이 외부 네트워크에 직접 액세스할 수 있도록 물리적 어댑터를 가상화해야 합니다. 알겠습니다. 제가 했습니다.
현재 설정은 다음과 같습니다.
외부 어댑터에서 "관리 OS가 어댑터를 공유하도록 허용"을 제거하고 두 번째 내부 네트워크를 HyperV에 추가했습니다.
그런 다음 각 게스트 VM에 두 번째 네트워크 어댑터를 추가한 다음 각 VM에 대해 공용 IP 주소를 명시적으로 설정해야 했습니다. 완료되었으며 잘 작동합니다. RRAS 역할이 호스트에서 제거되었습니다.
질문:
내가 옳은 일을 했나요? 내 내면의 느낌은 '예'라고 말합니다. 여기에는 "부분"이 적기 때문에(또는 적어도 비슷하게 생겼지만) 권위 있는 의견을 얻고 싶습니다.
현재 설정과 이전 설정에서 알아야 할 문제가 있나요? 위에 설명된 대로 네트워크를 설정한 후 수행해야 할 모범 사례가 있습니까?
아마도 나에게 가장 중요한 질문일 것이다. 두 시나리오 모두 게스트 VM에서 방화벽이 실행되고 있으며 전환 후 아무 것도 변경되지 않았습니다. 그리고 내가 이해한 바는 NAT가 트래픽 필터링을 수행하지 않는다는 것입니다. 모든 것이 게스트에게 직접 전달됩니다. 그러나 전환 직후 (Exchange VM 서버의) 로그에 다음과 같은 오류가 발생하기 시작합니다.
수신 커넥터 기본 EXCHANGE에 대한 LogonDenied 오류로 인해 인바운드 인증이 실패했습니다. 인증 메커니즘은 Ntlm입니다. Microsoft Exchange에 인증을 시도한 클라이언트의 원본 IP 주소는 [200.195.42.7]입니다.
이것은 새로운 설정에서 VM이 외부 위협에 "더 많이" 노출되었다는 것을 의미합니다. 그러나 NAT 시나리오에서는 이것이 왜 그렇지 않은지 이해가 되지 않습니다. 확인했습니다. 전환 전에는 이와 같은 오류가 없습니다. 왜 지금 이런 오류가 발생합니까? 네트워크 관점에서 무엇이 바뀌었나요?