繼續我目前的一系列入門系統管理問題,這是我必須處理的問題:
雙處理器 3 GHz Xeon 64 位元單核心、4 GB RAM 伺服器
- 網域控制器
- DNS伺服器
- 檔案伺服器
- IIS-ASP.NET
- SQL Server 和報表服務
- 僅供內部訪問
單處理器雙核心 3 GHz Xeon 64 位元、1 GB RAM 伺服器
- VPN
- 團隊基礎伺服器
- 外部可存取(因此為何使用 VPN)
由於我的角色是真正的軟體開發,系統管理是一個子角色,當我添加這些服務時,我真正開始意識到主伺服器變得多麼擁擠。尤其是當我發現團隊基礎伺服器甚至不允許將其自身安裝在網域控制站上。
此時我才真正開始研究 Hyper-V 和虛擬化。但是,如果我走虛擬化路線,我不太確定哪種方式是分配機器的最佳方式。我應該升級兩台伺服器上的 RAM 並將所有內容虛擬化嗎?
如果我走這條路,冷啟動虛擬網域控制器是否會成為一個大問題?
如果我讓其中一台虛擬機器也處理 VPN,這是否會增加網域的安全風險,因為該電腦還容納其他虛擬機器?沿著這個問題,在面向外部的伺服器上為網路安裝什麼被認為是可以接受的?
最後,什麼程度的分離會帶來更多的開銷而不是有益的呢?將每個主伺服器角色放在自己的虛擬機器中是否值得?
答案1
我應該升級兩台伺服器上的 RAM 並將所有內容虛擬化嗎?
是的
如果我走這條路,冷啟動虛擬網域控制器是否會成為一個大問題?
將網域控制器角色新增至主機 Hyper-V 電腦。即使 VM 網域控制器關閉,您也可以進行身份驗證。
如果我讓其中一台虛擬機器也處理 VPN,這是否會增加網域的安全風險,因為該電腦還容納其他虛擬機器?
不,但如果您偏執,請新增額外的 NIC 並將其專用於 VPN 虛擬機器。每個虛擬機器就像一台普通機器。每個網路卡成為交換器上行鏈路連接埠。
沿著這個問題,在面向外部的伺服器上為網路安裝什麼被認為是可以接受的?
一般來說盡量少。我不確定您在這裡尋找什麼詳細資訊。我肯定會讓 VPN 伺服器成為一個單獨的虛擬機器。您想要運行的其餘角色/伺服器可以根據需要進行劃分。角色的粒度越細,分配資源的彈性就越大,但缺點是,與組合角色/伺服器相比,開銷會更大。
答案2
這些伺服器看起來都不是很強大。站在你的立場上,我會(事實上我就是這麼做的!)在 eBay 上尋找 Poweredge 2950 或 2900,並將其建置為 Hyper-V 伺服器。確保您購買的戴爾保固期至少為一年;保固是可轉讓的,您可以使用伺服器標籤號碼在戴爾網站上進行檢查。
我不會在 DC 上安裝 Hyper-V。我會將 DC 和檔案伺服器分開。 Hyper-V 所需的額外 NIC 往往會導致 DC 出現問題,因為它們會進入 DNS 資料庫。
Hyper-V 的真正優勢在於管理。您可以使用它來分隔角色,例如需要重新機器人的 TFS 更新不會影響 Exchange/檔案服務等。它還使伺服器備份變得容易,並大大減輕了服務打包的壓力。
JR
Re Chris 關於合成 NIC 的問題:
術語「合成」僅指虛擬化設備,儘管它是一種特定類型的虛擬化。看http://technet.microsoft.com/en-us/magazine/cc895595.aspx獲取很多資訊。搜尋標題為「設備共享架構」的部分。
Hyper-V 使用一種稱為半虛擬化的技術。關於半虛擬化的真正程度有很多爭論,但半虛擬化的要點是設備虛擬化是由甚至位於主機作業系統之下的一層完成的。這意味著主機作業系統可以看到並使用虛擬設備。只要您不將任何主機 NIC 綁定到虛擬網絡,它們對主機來說就像普通的 NIC。但是,當您將 NIC 綁定到虛擬網路時,它會被合成(即虛擬)NIC 取代即使對於主人。
順便說一句,這就是為什麼 MS 建議您始終保留一個不綁定到虛擬網路的真實 NIC,因為該非虛擬化 NIC 的效能會比合成 NIC 更好。
因此,Hyper-V 的一個未被充分重視的方面是,即使是主機實際上也是虛擬機器。