是否应允许虚拟化主机运行任何服务?

是否应允许虚拟化主机运行任何服务?

我最近为我经营的小公司设置了一个虚拟化服务器。该服务器运行一些用于开发、测试等的虚拟机...

我的业务合作伙伴在远程位置工作,因此我也在虚拟化主机上安装了 vpn 服务器,以便他能够安全地访问公司服务。此外,我再次在虚拟化主机上安装了 bacula 来执行数据备份。

这样做是否明智/好的做法,还是我应该再创建一台虚拟机来进行备份和 VPN?在主机上运行这些服务是不是一个坏主意?如果是,为什么?

答案1

虚拟化主机应该是您拥有的最安全的机器。最安全的机器是根本不连接到网络的机器 ;-)

考虑到这一点,最好不要在公共接口上提供任何服务。你甚至不应该在那里有一个 IP(虚拟机的桥梁是第 2 层)。

将 VM 主机视为 DMZ:禁止进入该主机的流量,因为这不会产生问题。

因此在您的示例中:

  • VNC:错误 - 这是一个传入服务
  • 备份:没有问题 - 会话从这里向外发起

但即便如此 - 您应该只运行不会消耗 VM 主机上的 RAM/CPU/IO 的服务 - 否则您的 VM 将面临资源短缺的问题。

答案2

我建议将 VPN 功能分离到基于硬件的防火墙或单独的设备...例如,如果服务器宕机会发生什么?

但除此之外,您还可以使用现有的虚拟化主机作为 VPN 的终点站。备份也未必是个问题。

这听起来像是一个很小的设置(你使用的是什么类型的硬件?),但如果你问的话,也许你有一些保留意见?为什么认为这可能不是一个好主意?

相关内容