這是我第一次設定 Hyper-V 或 Windows 2008,所以請耐心等待。
我正在設定一台運行 Windows Server 2008 R2 的相當不錯的伺服器作為遠端(並置)Hyper-V 主機。它將託管 Linux 和 Windows 虛擬機,最初是供開發人員使用,但最終也用於執行一些網站託管和其他任務。目前我有兩台虛擬機,一台是Windows,一台是Ubuntu Linux,運作得很好,我打算複製它們以供將來使用。
現在,我正在考慮在伺服器移入託管設施後配置開發人員和管理員對伺服器的存取權限的最佳方法,並且我正在尋求相關建議。我的想法是設定一個 VPN 來存取伺服器上虛擬機器的某些功能,但我有幾種不同的選擇來實現此目的:
將伺服器連接到現有的硬體防火牆(老式的 Netscreen 5-GT),該防火牆可以建立 VPN 並將外部 IP 對應到虛擬機,虛擬機將透過虛擬介面公開自己的 IP。這種選擇的一個問題是我是唯一接受過 Netscreen 培訓的人,而且它的介面有點巴洛克式,所以其他人可能很難維護它。優點是我已經知道怎麼做,我知道它會滿足我的需要。
將伺服器直接連接到網路並設定 Windows 2008 防火牆以限制對 VM 的存取並設定 VPN。我以前沒有這樣做過,所以它會有一個學習曲線,但我願意了解這個選項從長遠來看是否比 Netscreen 更好。另一個優點是我不必對任何人進行 Netscreen 介面培訓。不過,我不確定 Windows 軟體防火牆的功能是否能夠創建 VPN、設定對 Hyper-V 伺服器 IP 上某些連接埠的外部存取規則等。
還要別的嗎?我的方法有哪些限制?最佳實踐是什麼/什麼對您有效?請記住,我需要設定開發人員存取權限以及消費者對某些服務的存取權限。 VPN 是正確的選擇嗎?
編輯:我可能會使用選項 2,設定 RRAS 來建立 VPN,但我仍然對您的意見感興趣。
答案1
我個人會擁有一個單獨的實體防火牆(Netscreen 或任何您喜歡的防火牆)來單獨處理 VPN,並投資一個帶有外部管理系統(如 Dell 的 DRAC)來為您提供對伺服器的低階存取(和防火牆的控制台連接埠(如果/當您想要更新韌體時),以防虛擬機器或主機掛起或崩潰(相信我:這會發生),或者當您想要進行無憂的Windows 更新等時。
Netscreen 應支援 IPSec 行動 VPN 訪問,並具有雙重因素(憑證和密碼)身份驗證的附加優勢。我已經有一段時間沒有使用 VPN 了,但我相信他們有多種 VPN 選項可用。
使用硬體防火牆(或實際上是「統一威脅管理」設備作為防火牆,具有當今大多數防火牆的所有功能)還將為您在代理 SMTP/DNS 請求、DMZ 方面提供一些靈活性等當您轉移到生產網絡託管環境時。
答案2
防火牆是不必要的。特別是對於 ahyper-v 主機。無論如何,大多數主機都有 2-3 個網路卡。對 hyper-v 使用 ONE,不允許在那裡使用 hyper-v 本身(即僅用於虛擬機器),並且您不會注意那裡的 hyper-v 來保護伺服器;)
另一方面 - 使用 Windows 防火牆僅允許遠端桌面。完畢。