Esta é a primeira vez que configuro o Hyper-V ou o Windows 2008, então tenha paciência comigo.
Estou configurando um servidor bastante decente executando o Windows Server 2008 R2 para ser um host Hyper-V remoto (co-localizado). Ele hospedará VMs Linux e Windows, inicialmente para uso dos desenvolvedores, mas eventualmente também para hospedagem na web e outras tarefas. Atualmente tenho duas VMs, uma Windows e uma Ubuntu Linux, funcionando muito bem e pretendo cloná-las para uso futuro.
No momento, estou considerando as melhores maneiras de configurar o acesso de desenvolvedor e administrador ao servidor, uma vez que ele seja movido para a instalação de colocation, e estou buscando conselhos sobre isso. Meu pensamento é configurar uma VPN para acesso a determinados recursos das VMs no servidor, mas tenho algumas opções diferentes para fazer isso:
Conecte o servidor a um firewall de hardware existente (um antigo Netscreen 5-GT) que pode criar uma VPN e mapear IPs externos para as VMs, que terão seus próprios IPs expostos por meio da interface virtual. Um problema com essa escolha é que sou o único treinado em Netscreen, e sua interface é um pouco barroca, então outros podem ter dificuldade em mantê-la. A vantagem é que já sei fazer e sei que vai fazer o que preciso.
Conecte o servidor diretamente à rede e configure o firewall do Windows 2008 para restringir o acesso às VMs e configure uma VPN. Não fiz isso antes, então terá uma curva de aprendizado, mas estou disposto a saber se essa opção é melhor a longo prazo do que o Netscreen. Outra vantagem é que não precisarei treinar ninguém na interface Netscreen. Ainda assim, não tenho certeza se os recursos do firewall do software Windows no que diz respeito à criação de VPNs, configuração de regras para acesso externo a determinadas portas nos IPs dos servidores Hyper-V, etc. o suficiente para configurar/manter?
Algo mais? Quais são as limitações das minhas abordagens? Quais são as melhores práticas/o que funcionou bem para você? Lembre-se de que preciso configurar o acesso do desenvolvedor e também o acesso do consumidor a alguns serviços. Uma VPN é mesmo a escolha certa?
Editar:Provavelmente usarei a opção 2, com RRAS configurado para criar uma VPN, mas ainda estou interessado na sua opinião.
Responder1
Pessoalmente, eu teria um firewall físico separado (Netscreen ou qualquer outro com o qual você se sinta confortável) que lide com a VPN separadamente e investiria em um sistema de gerenciamento fora de banda (como o DRAC da Dell) para fornecer acesso de baixo nível ao seu servidor ( e a porta do console do firewall se/quando você quiser atualizar seu firmware) em caso de travamento ou travamento (acredite: isso vai acontecer) VMs ou host, ou quando você quiser fazer atualizações do Windows sem preocupações, etc.
O Netscreen deve suportar acesso VPN móvel IPSec com um benefício adicional de dois fatores (certificados e senhas) para autenticação. Já faz um tempo que não uso um, mas acredito que eles tenham várias opções de VPN disponíveis.
Optar por um firewall de hardware (ou, na verdade, um dispositivo de "Gerenciamento unificado de ameaças" como firewalls com todos os recursos que a maioria deles tem hoje em dia) também lhe dará alguma flexibilidade no futuro em relação ao proxy de solicitações SMTP/DNS, DMZs , etc. quando você muda para um ambiente de hospedagem na web de produção.
Responder2
Firewall é desnecessário. Especialmente para um host hyper-v. A maioria dos hosts possui de 2 a 3 placas de rede. Use ONE para hyper-v, NÃO permita que o próprio hyper-v seja usado lá (ou seja, apenas para VMs) e você não presta atenção ao hyper-v lá para proteger o servidor;)
Por outro lado - use o firewall do Windows SOMENTE para permitir a área de trabalho remota. Feito.