我正在运行 Windows 2008 R2 服务器,其中各种服务本地运行,并且两个虚拟化服务器在 Hyper-V 上运行。
我将把硬件服务器称为 REAL1,它有一个外部 NIC,我可以为其分配以下任意 IP 地址:1.2.3.4、1.2.3.5、1.2.3.6 等...
我需要实现以下目标:我希望能够通过一个 IP 地址(例如 1.2.3.4)上的远程桌面(RDP / 端口 3389)连接到 REAL1,同时也连接到其他可用 IP 地址(例如 1.2.3.5 和 1.2.3.6)上的虚拟化服务器(我将它们称为 VIRTUAL1 和 VIRTUAL2)。
最简单的方法是将虚拟服务器直接连接到外部接口,并为每个虚拟服务器分配自己的 IP 地址。REAL1 的 IP 地址为 1.2.3.4,VIRTUAL1 的 IP 地址为 1.2.3.5,VIRTUAL2 的 IP 地址为 1.2.3.6。不幸的是,虽然我不直接管理这两个虚拟服务器,但我对它们的安全负有责任。我希望在虚拟服务器和互联网之间建立某种防火墙。
我曾尝试运行虚拟机防火墙,但发现 Hyper-V 上的性能非常糟糕。
我现在尝试的替代方案是路由和远程访问(RRAS):
- 我已经设置了一个名为“内部”的虚拟网络,并且 REAL1 有一个连接到该虚拟网络的虚拟网络适配器
- 我已将每个虚拟服务器连接到此网络
- 我已经为这个虚拟网络上的每台服务器分配了静态 IP 地址(REAL1 有 10.1.1.1,VIRTUAL1 有 10.1.1.2,VIRTUAL2 有 10.1.1.3)
- 我已经安装了RRAS并设置了NAT。外部接口是外部网卡,内部接口是连接到内部网络的虚拟网卡
- 我已将所有可用的外部 IP 地址分配给 REAL1 上的外部 NIC。
- 虚拟服务器已正确设置,其默认网关指向 10.1.1.1,并且它们都可以进行外部访问。成功!RRAS 正在路由数据包。
我遇到的问题是,当我尝试从 REAL1 上的外部 IP 地址端口转发服务时,只有当端口上尚未绑定服务时,它才会起作用。远程桌面“贪婪地”绑定到 REAL1 上端口 3389 上的每个可用 IP 地址,因此我无法有选择地将 1.2.3.5:3389 的传入流量转发到 10.1.1.2:3389。RRAS 将允许我设置此端口转发,并且不会出现任何错误。它就是不起作用。
我的问题是:
有没有更好的方法呢?或者至少有没有办法解决 RRAS 与物理服务器上其他所有内容之间明显的冲突?
答案1
我曾尝试运行虚拟机防火墙,但发现 Hyper-V 上的性能非常糟糕。
嗯?我使用 Hyper-V 运行多个 RRAS/防火墙系统(2 个 RRAS,一个 TMG),99% 的功能性能都还不错 - 实际上是我所关心的。
如果您同意将 RRAS 作为防火墙,请在外部起诉 RRAS。
在 REAL1 上安装第二个 NIC - 非硬件 NIC(Microsoft 驱动程序 - 查找 - 我认为它被称为环回适配器),然后在其周围建立虚拟网络。然后 RRAS 可以转发传入的 TCP 等连接。
我个人不会在物理服务器上运行除 Hyper-V 之外的任何东西;)如果它暴露在互联网上,绝对不会运行更高级的功能;)
答案2
我不知道性能怎么会这么糟糕,我肯定会选择第三个虚拟服务器,该服务器具有防火墙/远程访问/服务发布功能,并使物理主机不受这些东西的影响。
显然,最好的办法是将第二个 NIC 插入机器并将其专用于内部网络(如果存在这样的网络接口卡的话)。
如果不存在这样的内部网络,则只需使用第三个虚拟服务器,例如东京煤矿安装后,为其分配外部 IP,并在内部创建一个纯虚拟的专用网络,仅将物理主机、两个虚拟服务器和 TMG 内部接口连接在一起。在 TMG 上使用 NAT 和多个外部 IP 地址来发布其他服务器。这不仅会部分屏蔽虚拟服务器,还会部分屏蔽物理主机。
答案3
您是否在 Hyper-V 服务器上运行高端视频适配器?此配置存在问题,建议在 Hyper-V 服务器上使用基本 svga 驱动程序。
解决 RDP 问题的一个可能选项是将终端服务网关添加到 Hyper-V 服务器,然后您可以通过 Hyper-V 服务器连接到虚拟机。我写了一篇文章概述了 Windows 2008 Server 中的此功能,并每天使用它来访问实验室服务器上的 VM。
一旦启用 TSG,您就可以通过添加带有 SSTP 的 RRAS 来扩展它,从而在整个 Hyper-V 服务器上将 VPN 连接选项添加到您的家庭网络。