Dan*_*ter 5 networking virtualization firewall hyper-v windows-server-2008-r2
这是我第一次设置 Hyper-V 或 Windows 2008,所以请耐心等待。
我正在将运行 Windows Server 2008 R2 的相当不错的服务器设置为远程(共置)Hyper-V 主机。它将托管 Linux 和 Windows 虚拟机,最初供开发人员使用,但最终也会执行一些网络托管和其他任务。目前我有两台虚拟机,一台 Windows 和一台 Ubuntu Linux,运行良好,我计划克隆它们以备将来使用。
现在,我正在考虑在服务器移入托管设施后配置开发人员和管理员对服务器的访问的最佳方法,我正在就此寻求建议。我的想法是设置一个 VPN 来访问服务器上虚拟机的某些功能,但我有几个不同的选择来解决这个问题:
将服务器连接到可以创建 VPN 并将外部 IP 映射到 VM 的现有硬件防火墙(旧式 Netscreen 5-GT),VM 将通过虚拟接口公开自己的 IP。这个选择的一个问题是我是唯一一个接受过 Netscreen 培训的人,它的界面有点巴洛克风格,所以其他人可能很难维护它。优点是我已经知道如何去做,并且我知道它会做我需要的。
将服务器直接连接到网络并配置 Windows 2008 防火墙以限制对 VM 的访问并设置 VPN。我以前没有这样做过,所以它会有一个学习曲线,但我愿意了解这个选项是否比 Netscreen 更好。另一个优点是我不必在 Netscreen 界面上培训任何人。尽管如此,我不确定 Windows 软件防火墙在创建 VPN、为外部访问 Hyper-V 服务器的 IP 上的某些端口设置规则等方面的功能是否足够满足我的需求并且容易足以建立/维护?
还要别的吗?我的方法有哪些局限性?什么是最佳实践/什么对你来说效果很好?请记住,我需要设置开发人员访问权限以及消费者对某些服务的访问权限。VPN 甚至是正确的选择吗?
编辑:我可能会使用选项 2,设置 RRAS 来创建 VPN,但我仍然对您的输入感兴趣。
我个人会拥有一个单独的物理防火墙(Netscreen 或任何您喜欢的防火墙)来单独处理 VPN,并投资一个带外管理系统(如 Dell 的 DRAC)来为您提供对服务器的低级别访问(和防火墙的控制台端口(如果/当您想要更新固件时),以防虚拟机或主机挂起或崩溃(相信我:这会发生),或者当您想要进行无忧的 Windows 更新等时。
Netscreen 应支持 IPSec 移动 VPN 访问,并具有双因素(证书和密码)身份验证的附加优势。我已经有一段时间没有使用 VPN 了,但我相信他们有多种 VPN 选项可用。
使用硬件防火墙(或者实际上是“统一威胁管理”设备作为防火墙,具有当今大多数防火墙的所有功能)也将为您在代理 SMTP/DNS 请求、DMZ 方面提供一定的灵活性等当您转移到生产网络托管环境时。