我们在 Windows Server 2008 R2 上运行 Hyper-V 服务器。我已订购子网,因为我们想为每个 VM 提供一个公共 IP 地址。
我的数据中心提供商(德国的 Hetzner AG)对此写道:
虚拟化问题
对于这种类型的 IP/子网分配,无法使用“桥接”设置,因为这种设置会出现多个 MAC 地址。VPS(Linux 虚拟服务器、Xen、vmware 等)必须使用所谓的“路由”设置(VMware:“仅主机网络”)。对于附加子网,主机系统或 dom0 必须配置来自子网的 IP 地址,然后将其用作 VPS 的网关。因此,在每种情况下,主机系统的(附加)地址都必须在 VPS 中配置为网关。此规则的一个例外是“openvz”,它不需要网关。在主机系统或 dom0 上,必须为每个虚拟化激活“ip_forward”:
那么,这对我而言意味着什么,我该如何配置 Hyper V?
感谢您的帮助!
答案1
他们的意思是,如果您的设置中有多个不同的客户端,每个客户端都有自己的 VM,则使用桥接模式的子网允许我在虚拟 NIC 上“看到”其他客户端的 MAC。这有点安全问题,因为理想情况下,您需要完全隔离每个客户端,这样就不会出现一个客户端对另一个客户端造成“伤害”的风险,而这很可能最终由您来承担责任。
接待机构的人员只是提醒您,如果您做您想做的事情,您可能会面临陷入麻烦的风险。
我不确定是否可以在 Hyper-V(或 VMWare)上使用公共 IP 进行主机专用网络。我认为你应该做的是将所有这些 IP 分配给主机,然后为每个 IP 创建适当的 NAT 等规则,以指向每个客户端 VM 的专用网络。
现在,如果我们讨论的是某个组织的服务器,并且从安全角度来说,您不需要隔离每个服务,那么您可能并不关心这一点。就我个人而言,我仍然会隔离它们,这样如果其中一个受到攻击,攻击者就无法仅通过查看 ARP 来发现新机器。
答案2
意思是说您需要在新子网和他们的网络之间安装一个路由器,以满足他们拥有 1 个 MAC 地址:1 个交换机端口的要求。我不确定 Hyper-V 是否原生提供了此选项,但您可以在主机上设置 RRAS 或购买硬件路由器,将其放置在主机和网络之间。
答案3
在这种情况下,有关如何在 Windows Server 2012 中进行设置的说明可能会有所帮助: http://www.wiki.hetzner.de/index.php/Windows_Server_2012_Subnet/en (由最初问题中提到的同一提供商提供)
我不知道这是否适用于 Win Server 2008,但我看不出它为什么不适用。