Это мой первый опыт настройки Hyper-V или Windows 2008, поэтому, пожалуйста, отнеситесь ко мне с пониманием.
Я настраиваю довольно приличный сервер под управлением Windows Server 2008 R2 в качестве удаленного (колокационного) хоста Hyper-V. Он будет размещать виртуальные машины Linux и Windows, изначально для разработчиков, но со временем также для веб-хостинга и других задач. В настоящее время у меня есть две виртуальные машины, одна Windows и одна Ubuntu Linux, которые работают довольно хорошо, и я планирую клонировать их для будущего использования.
Прямо сейчас я рассматриваю наилучшие способы настройки доступа разработчика и администратора к серверу после его перемещения в помещение для размещения оборудования, и я ищу совета по этому вопросу. Я думаю настроить VPN для доступа к определенным функциям виртуальных машин на сервере, но у меня есть несколько других вариантов для этого:
Подключите сервер к существующему аппаратному брандмауэру (старому Netscreen 5-GT), который может создать VPN и сопоставить внешние IP-адреса с виртуальными машинами, которые будут иметь свои собственные IP-адреса, выставленные через виртуальный интерфейс. Одна из проблем с этим выбором заключается в том, что я единственный, кто обучен работе с Netscreen, а его интерфейс немного причудлив, поэтому у других могут возникнуть трудности с его обслуживанием. Преимущество в том, что я уже знаю, как это делать, и я знаю, что это сделает то, что мне нужно.
Подключите сервер напрямую к сети и настройте брандмауэр Windows 2008, чтобы ограничить доступ к виртуальным машинам и настроить VPN. Я раньше этого не делал, поэтому потребуется время на обучение, но я готов узнать, лучше ли этот вариант в долгосрочной перспективе, чем Netscreen. Еще одно преимущество заключается в том, что мне не придется никого обучать интерфейсу Netscreen. Тем не менее, я не уверен, хватит ли возможностей программного брандмауэра Windows в плане создания VPN, настройки правил внешнего доступа к определенным портам на IP-адресах серверов Hyper-V и т. д. для моих нужд и будет ли он достаточно простым в настройке/обслуживании?
Что-нибудь еще? Каковы ограничения моих подходов? Каковы лучшие практики/что хорошо сработало для вас? Помните, что мне нужно настроить доступ разработчика, а также доступ потребителя к некоторым сервисам. Является ли VPN вообще правильным выбором?
Редактировать:Я, вероятно, воспользуюсь вариантом 2, настроив RRAS для создания VPN, но мне все равно интересно ваше мнение.
решение1
Лично я бы установил отдельный физический брандмауэр (Netscreen или что вам удобнее), который бы отдельно управлял VPN, и вложился бы в систему управления по дополнительному каналу (например, DRAC от Dell), чтобы предоставить вам низкоуровневый доступ к вашему серверу (и консольному порту брандмауэра, если/когда вы захотите обновить прошивку) в случае зависания или сбоя (поверьте мне: это случится) виртуальных машин или хоста, или когда вы захотите без проблем обновлять Windows и т. д.
Netscreen должен поддерживать мобильный VPN-доступ IPSec с дополнительным преимуществом двухфакторной аутентификации (сертификаты и парольные фразы). Прошло некоторое время с тех пор, как я пользовался одним из них, но я думаю, что у них есть несколько вариантов VPN.
Использование аппаратного брандмауэра (или, точнее, устройства «унифицированного управления угрозами» в качестве брандмауэра со всеми наворотами, которые есть у большинства из них в настоящее время) также обеспечит вам некоторую гибкость в будущем в отношении проксирования SMTP/DNS-запросов, DMZ и т. д. при переходе в производственную среду веб-хостинга.
решение2
Брандмауэр не нужен. Особенно для хоста hyper-v. Большинство хостов в любом случае имеют 2-3 сетевые карты. Используйте ОДНУ для hyper-v, НЕ позволяйте использовать там сам hyper-v (т.е. только для виртуальных машин), и вы не будете обращать внимание на hyper-v, чтобы защитить сервер ;)
С другой стороны - использовать брандмауэр Windows ТОЛЬКО для разрешения удаленного рабочего стола. Готово.