15S*_*5SX 7 security virtualization windows-7 vdi hyper-v-server-2012-r2
我们正在讨论是否在今年晚些时候将 Client Hyper-V 或 VMWare Player Pro 添加到新的 Windows 10 桌面,并让我们的开发人员在本地桌面上的 Windows 7 VM 中运行他们的开发工具。出于安全原因,他们在本地工作站上将没有管理员权限,该工作站仅用于托管他们的 VM 和不需要管理员权限的办公室工作,例如电子邮件、Web、Microsoft Office 等)。
开发人员将拥有虚拟机的管理员权限。VM 将位于隔离的网络 VLAN 和 AD 域中,无法访问 Internet,也无法在 VM 和主机之间进行直接文件传输或网络访问。用户将在 VM 内进行所有开发和测试。
我一直没能找到一个真正的虚拟机“播放器”,它只允许使用现有的虚拟机而不是在工作站上安装时创建新的虚拟机。
除非用户在主机上拥有本地管理员权限或者是 Hyper-V 管理员组的成员,否则客户端 Hyper-V 根本无法工作,这允许他们无限制地配置 VM 设置,这将使他们很容易绕过即使在主机上没有管理员权限也有限制。VMWare Player 不仅仅是一个播放器。即使没有管理员权限,它还允许创建新的 VM。
是否有任何替代 vm 软件允许在其本地工作站上使用现有的 VM,但不能添加或重新配置 VM 硬件?
如果不能做到这一点,我们如何在 Hyper-V 中构建一个高度可用的虚拟服务器,它具有繁重的软件开发、长查询、构建和调试等所需的性能。 许多开发人员与 10 个或更多运行的应用程序一起工作同时,在他们当前的系统上有 16GB RAM。
所以,我猜我们需要 2 台非常强大的服务器和大量的 RAM 来同时运行 100 个高内存虚拟机和某种虚拟 SAN。它还需要磁盘空间和 I/O 来处理 100 个繁忙的工作站 VM。
如果有 100 个 VM,我们可以在 2 个成员的故障转移集群中的每个 VM 上运行 50 个。如果一个发生故障,另一个将需要能够毫无问题地处理所有 100 个的负载。我们还可以进行计划中的实时迁移以进行维护,例如在主机上重启 Windows 更新。然后,我们需要 SCVMM 来管理它们并向用户分配私有云访问权限,以便他们可以访问 VM 并在其软件测试 VM 上创建/恢复检查点。
由于我们的资金有限,什么样的硬件设计才能实现这一目标(服务器规格等),以及我们期望使用戴尔或惠普等制造商的硬件支付多少价格范围?
如果成本是天文数字,那么我们将回到在工作站本地添加 VM 的计划,并尝试找到限制用户创建未经授权的 VM 的方法。
Zri*_*rin 12
如何扭转这一局面:
工作站位于安全的 LAN 中,Internet 访问通过代理限制到开发人员需要的许多白名单站点 - 例如 StackExchange :)。开发人员拥有工作站的管理员权限。
对于所有其他需求,他们可以连接到 VM 并拥有(外部)电子邮件和可能的完整 Internet 访问权限,但无法访问与工作相关的数据。
这样,VM 所需的性能就会显着降低。也许他们的数量也更少。也许您可以根据需要动态分配 VM。
硬件要求在很大程度上取决于所需的性能,但我个人会使用大约 10 个便宜的节点,每个节点具有 8 核 CPU 和 32 GiB RAM 和一个非常快的 SSD RAID - 以及相当自动化的维护。这是针对VM不是主工作站而是辅机的情况。
IIUC,您在这里关心的是代码和文档的安全性和安全性,您希望拥有一个不必信任开发人员(太多)的系统。
我的一个客户有一个非常相似的任务,只是 CAD 而不是软件开发。在很大程度上,这是一个我们试图用技术手段解决的社会问题。
如果没有持续方便地访问与编程相关的站点和 StackExchange 系列,开发人员如何有效地工作?:)