继续我的一系列初始系统管理问题,目前我必须处理以下问题:
双处理器 3 GHz Xeon 64 位单核、4 GB RAM 服务器
- 域控制器Domain Controller
- DNS 服务器
- 文件服务器
- 互联网信息服务
- SQL Server 和报告服务
- 仅供内部访问
单处理器双核 3 GHz Xeon 64 位、1 GB RAM 服务器
- VPN
- 团队基础服务器
- 外部可访问(因此需要 VPN)
由于我的角色是真正的软件开发,而系统管理只是次要角色,因此当我添加这些服务时,我才真正开始意识到主服务器变得多么拥挤。尤其是当我发现团队基础服务器甚至不允许自己安装在域控制器上。
此时我开始真正研究 Hyper-V 和虚拟化。但是,如果我选择虚拟化路线,我不太确定哪种方式最适合分配机器。我应该升级两台服务器上的 RAM 并虚拟化所有内容吗?
如果我选择那条路线,域控制器虚拟的冷启动是否会成为大问题?
如果我让其中一台虚拟机也处理 VPN,这是否会增加域的安全风险,因为该机器还会容纳其他虚拟机?还有这个问题,在面向外部的服务器上为网络安装什么被认为是可以接受的?
最后,哪种程度的分离会造成更多的开销而不是好处?将每个主服务器角色放在自己的虚拟机中是否值得?
答案1
我是否应该升级两台服务器上的 RAM 并将所有内容虚拟化?
是的
如果我选择那条路线,域控制器虚拟的冷启动是否会成为大问题?
将域控制器角色添加到主机 Hyper-V 计算机。这样,即使 VM 域控制器关闭,您也可以进行身份验证。
如果我让其中一台虚拟机也处理 VPN,那么这是否会增加域的安全风险,因为该机器还会容纳其他虚拟机?
不,但如果您比较谨慎,可以添加一个额外的 NIC 并将其专用于 VPN VM。每个 VM 就像一台普通机器。每个 NIC 都成为交换机上行链路端口。
沿着这个问题,在面向外部的服务器上为网络安装什么被认为是可以接受的?
一般来说越少越好。我不确定你在这里寻找什么细节。我肯定会将 VPN 服务器设为单独的 VM。你可以随意划分要运行的其余角色/服务器。角色越细,划分资源的灵活性就越大,缺点是与角色/服务器合并相比,开销更大。
答案2
这两台服务器看起来都不是很强大。如果我是你,我会(实际上我会!)在 eBay 上寻找 Poweredge 2950 或 2900,并将其构建为 Hyper-V 服务器。确保你购买的服务器至少有一年戴尔保修期;保修是可转让的,你可以在戴尔网站上使用服务器标签号进行检查。
我不会将 Hyper-V 放在 DC 上。我会将 DC 和文件服务器分开。Hyper-V 所需的额外 NIC 往往会在 DC 上造成问题,因为它们会进入 DNS 数据库。
Hyper-V 的真正优势在于管理。您可以使用它来分离角色,例如,需要重新启动的 TFS 更新不会影响 Exchange/文件服务等。它还使服务器备份变得简单,并大大减少了服务打包的压力。
JR
关于 Chris 提出的关于合成 NIC 的问题:
“合成”一词仅表示虚拟化设备,尽管它是一种特殊类型的虚拟化。请参阅http://technet.microsoft.com/en-us/magazine/cc895595.aspx了解大量信息。搜索标题为“设备共享架构”的部分。
Hyper-V 使用一种称为半虚拟化的技术。关于它到底在多大程度上是半虚拟化的,存在很多争论,但半虚拟化的要点是设备虚拟化是由位于主机操作系统之下的一层完成的。这意味着主机操作系统可以查看和使用虚拟设备。只要您不将任何主机 NIC 绑定到虚拟网络,它们在主机看来就像普通 NIC 一样。但是当您将 NIC 绑定到虚拟网络时,它会被合成(即虚拟)NIC 取代甚至对于主持人来说。
顺便说一句,这就是为什么 MS 建议您始终将一个真实 NIC 保留到虚拟网络,因为未虚拟化 NIC 的性能将优于合成 NIC。
因此,Hyper-V 的一个被低估的方面是,即使主机实际上也是一个虚拟机。