我有一个运行 Xenserver 5.6 的服务器集群,用于托管 Web 电子邮件和 VoIP 服务。我目前正在考虑在每个 Xenserver 主机上设置一个 chrooted 绑定服务器(我的意思是在实际服务器上,而不是在 VM 内)
这是一个坏主意吗?
答案1
作为一般规则,我建议不要运行 Xen Dom0(具有对硬件和主机上所有虚拟机的完全访问权限的特权域)中绝对最低限度的服务之外的任何其他服务。
这主要是出于安全考虑 - 根据经验,你应该只在对你来说最有价值的机器上运行基本服务 - 如果你的 Dom0 受到威胁,你的所有 DomU(客户虚拟机)也会受到威胁,因为攻击者可以访问每个虚拟机的控制台。
如果您确实想运行一些名称服务器,并且它们是面向公众的、具有权威性的,那么将它们作为虚拟机运行是没有问题的,但您应该尽一切努力在完全独立的网络段上运行它们(您始终需要至少两个)以确保可用性。例如:
ns1.redhat.com. 463 IN A 66.187.233.210
ns2.redhat.com. 463 IN A 209.132.183.2
ns3.redhat.com. 462 IN A 209.132.176.100