作为后续问题如何仅使用几个公共 IP 地址在 HyperV 上托管多台服务器我现在想弄清楚应该把 ISA/TMG 服务器放在哪里?应该将它虚拟化,监听外部 IP 并在内部网络之间发送数据,还是应该将它托管在主机分区上?上次我使用 ISA/TMG 时,它是一个物理盒子,后面还有其他机器,所以我想到了虚拟选项。给它 2 个公共 IP,让它处理其余的事情...给盒子本身 1 个 IP 进行管理...它应该以哪种方式工作?
答案1
TMG 作为虚拟机运行良好,并且有一个 Technet 视频描述了使用 TMG 的各种场景,只需谷歌搜索“虚拟化您的 ISA 或 Forefront TMG 服务器”。正如这些事情中总是有最佳实践、良好实践和愚蠢的做法。
视频中提倡的最佳做法是将虚拟化 TMG 安装在专门用于外围任务的硬件上。如果您只有一台服务器,这显然行不通。但是,只要您至少有 3 个物理网络连接,就可以在单服务器场景中轻松实现视频中推荐的网络分段。
一个将成为虚拟/物理网络(即具有外部访问权限的虚拟网络),将 VM TMG 连接到互联网(或网关路由器)-这一定不用于硬件管理。在 Hyper V 设置中,我将此网络命名为“黑色”,因为它不安全并且通向外部大网络。
一个是虚拟网络(即没有外部访问),将 VM TMG 连接到目标 VM - 同样,不用于硬件管理。我将此网络命名为“蓝色”,因为它理论上是安全的,并且它将所有 VM 连接在一起。
一个是物理网络(Hyper V 根本不使用),纯粹用于硬件管理局域网。我将其命名为“管理”,最佳做法是让它和主机脱离互联网,或者只从主机上网进行更新。
从逻辑上来说,它是这样的:
因此,当您为虚拟机分配虚拟网络接口时,TMG 虚拟机会获得两个(黑色和蓝色),而所有其他虚拟机都只获得蓝色。
这很简单,主要的复杂性在于,当您试图理解 Hyper V 如何允许您将网络连接用作“虚拟交换机”时,无论如何您都会遇到什么。我已经使用跨多服务器集群的“黑色”网络和“蓝色”网络设置了相同的网络,发现它运行良好。基本的信念飞跃是,您必须相信黑色网络上的恶意程序无法通过主机跳转到蓝色网络。无论如何,Hyper V 的安全性已达到 EAL4+ 等级,因此可以说,除非您的主机受到严重损害,否则这种情况不太可能发生。
答案2
我可能会将其打造成一个虚拟机,这样如果您获得另一台主机,您就可以为该服务提供 HA。