这是我第一次设置 Hyper-V 或 Windows 2008,所以请耐心等待。
我正在设置一台运行 Windows Server 2008 R2 的相当不错的服务器,作为远程(共置)Hyper-V 主机。它将托管 Linux 和 Windows VM,最初供开发人员使用,但最终也用于执行一些 Web 托管和其他任务。目前我有两台 VM,一台是 Windows,一台是 Ubuntu Linux,运行良好,我计划克隆它们以供将来使用。
现在,我正在考虑将服务器移至主机托管设施后,配置开发人员和管理员对服务器的访问权限的最佳方法,并寻求相关建议。我的想法是设置 VPN 以访问服务器上虚拟机的某些功能,但我有几种不同的选择:
将服务器连接到现有的硬件防火墙(较旧的 Netscreen 5-GT),该防火墙可以创建 VPN 并将外部 IP 映射到虚拟机,虚拟机将通过虚拟接口公开自己的 IP。这种选择的一个问题是,我是唯一一个接受过 Netscreen 培训的人,而且它的界面有点复杂,所以其他人可能难以维护它。优点是我已经知道如何做,而且我知道它会满足我的需要。
将服务器直接连接到网络并配置 Windows 2008 防火墙以限制对虚拟机的访问并设置 VPN。我以前没有这样做过,因此需要学习一段时间,但我愿意了解此选项是否比 Netscreen 更好。另一个优点是我不必在 Netscreen 界面上培训任何人。不过,我不确定 Windows 软件防火墙在创建 VPN、设置 Hyper-V 服务器 IP 上某些端口的外部访问规则等方面的功能。它是否足以满足我的需求并且易于设置/维护?
还有什么?我的方法有什么局限性?最佳实践是什么/什么对你有用?请记住,我需要设置开发人员访问权限以及消费者对某些服务的访问权限。VPN 是正确的选择吗?
编辑:我可能会使用选项 2,设置 RRAS 来创建 VPN,但我仍然对您的输入感兴趣。
答案1
我个人会有一个单独的物理防火墙(Netscreen 或任何您觉得舒服的防火墙),单独处理 VPN,并投资带外管理系统(如戴尔的 DRAC),以便在虚拟机或主机挂起或崩溃(相信我:这种情况会发生)时,或者当您想要无忧地进行 Windows 更新等时,为您提供对服务器的低级访问权限(如果/当您想要更新固件时,还可以访问防火墙的控制台端口)。
Netscreen 应该支持 IPSec 移动 VPN 访问,并具有双重身份验证(证书和密码)的额外优势。我已经有一段时间没用它了,但我相信他们有几种可用的 VPN 选项。
使用硬件防火墙(或实际上是“统一威胁管理”设备,即具有当今大多数防火墙所具有的所有附加功能的防火墙)也将为您在转移到生产网络托管环境时在代理 SMTP/DNS 请求、DMZ 等方面提供一定的灵活性。
答案2
防火墙是不必要的。特别是对于 Hyper-V 主机。大多数主机都有 2-3 个网卡。为 Hyper-V 使用一个,不要允许 Hyper-V 本身在那里使用(即只用于 VM),并且您不必注意 Hyper-V 在那里保护服务器 ;)
另一方面 - 使用 Windows 防火墙仅允许远程桌面。完成。