我最近刚买了一台 16GB RAM、Intel i7 四核 Mac mini 作为我的网络的中心入口点,正在寻求如何设计适合小型办公室的网络的建议。
我的硬件包括几台笔记本电脑、一台连接打印机的个人电脑、网络摄像头、一些无线设备(如手机和平板电脑)、路由器,当然还有 Mac Mini。
Mac mini 服务器的要求:
- LAMP 网络服务器(互联网和本地)
- Git 服务器(互联网和本地)
- DNS(本地)
- 文件共享(本地)
- 活动目录(本地)
Mac mini 将使用 OSX 作为主要操作系统,我将利用虚拟化来创建所需的服务器。
我的问题:
- 我是否应该为每台服务器创建单独的虚拟机实例,或者是否可以对某些服务器(例如 LAMP 服务器和 Git 服务器)进行分组?
- 如何保护 Web 服务器免受本地网络攻击?是否可以创建一个“虚拟” DMZ 来托管 Web 服务器?如果 Web 服务器受到攻击,我不希望潜在的攻击者获得整个本地网络(尤其是网络摄像头)的访问权限。
- 对于这样的设置,您推荐使用哪种虚拟化软件?
答案1
很抱歉,你不能。
OSX 上没有合理的虚拟化机制。有 VMware Fusion,但它不是为运行服务器而设计的,不用于生产用途,嗯,我肯定不会用。
我希望您在购买硬件之前问一下这个问题。
如果我正在设计这个网络布局,我会执行以下操作:
Internets x
+
x|
x |
xxxxxxxxxxx | Wired Stuff
|
| ^ ^
| | |
+-v------------------+ | |
|Firewall | | |
| +-----------------------------------------+ | |
+-+--+---------------+ | | |
| |DMZ on VLAN 3 | | |
| |Internal on VLAN 2 | | |
+-v--v-----------------------------------------------+ +-----v--------------+-+---+
|Dell R720 running ESXi | |24-port Managed Switch | Management on VLAN1
|----------------------------------------------------| | |
+----------------------------------------------------+ +-+------------------------+
| Active Directory Server (Windows 2012) VLAN 2,4 | |
| | +-v------------------------+
+----------------------------------------------------+ |Wireless Access Point |
| LAMP Server (Internal) VLAN 2,4 | | |
| | +-+----+-------+-----------+
+----------------------------------------------------+ | | |
| LAMP Server External VLAN 3 | | | |
| | | | |
+----------------------------------------------------+ v +--> v
| Internal Git Repos VLAN 2,4 | Wireless Stuff
| |
+-------------------------+--------------------------+
| Internal DNS VLAN 2 | |
| | |
| | |
+----------------------------------------------------+
| File Storage VLAN 2,4 |
| |
| |
| |
| |
| |
+----------------------------------------------------+
| Unprovisioned Resources |
| |
| |
| |
| |
| |
+----------------------------------------------------+
因此,您有一个防火墙,不干净的流量进入,并被过滤为入站访问或 DMZ 流量,然后进入 2 个 VLAN。
您有一个合适的服务器,运行企业级虚拟化软件,并带有几个 NIC 端口(取决于您想要如何隔离..)
互联网入站流量进入防火墙,并根据其去向和规则,进入 DMZ 或内部。
然后,虚拟机在其中一个 VLAN 上拥有一个 NIC,而文件服务器则位于不同的 VLAN 上。
如果可以选择,我可能会选择双层防火墙,即在外部和内部边缘之间有两个不同的供应商,以实现更强的纵深防御方法。
您应该能够根据您的吞吐量以及设备支持的虚拟安全区域数量来选择一个合适的防火墙。
您应该考虑使用托管交换机,以便能够处理 VLAN 并出于安全原因进一步隔离流量。
对于运行所有这些的服务器,我会寻找大约 12 个核心和大约 24-32 GB 的 RAM,以便为您提供进一步增长的空间。您还需要磁盘,如果要获得任何性能和故障冗余级别,则需要大量磁盘。
不要考虑 RAID 5,它已经过了鼎盛时期,并且会导致丢失数据。RAID 6 中的 10x300GB SAS 磁盘应该没问题。
也就是说,如果您正在为未来的发展和可维护性而构建,那么值得考虑一个专用的 NAS 文件管理器,您可以用它来进行文件共享,以及作为 VM 服务器的主存储。我指的是戴尔的存储系列或日立的虚拟存储平台,而不是专为家庭或小型办公室使用而设计的产品。
答案2
我正在寻求有关如何设计适合小型办公室的网络的建议。
将便宜的开关放在角落里,从那里拉出电缆。那里需要什么设计?
我最近刚买了一台 16 GB 内存、Intel i7 四核 Mac mini 用来使用
哥们,你真的喜欢那种垃圾东西吗?
当我规划我的小办公室时(请注意,当时有 4 个人 + 3 人在家办公),我使用了 2 个(我不希望我的公司因为服务器故障而停业)微型 ATX 系统,每个系统 16 GB(那是几年前的事了),可以放置 8 个硬盘。今天我将它们升级到 64 GB AMD 服务器,仍然是微型 ATX,它们仍然在。
我是否应该为每台服务器创建单独的虚拟机实例,或者是否可以对某些服务器(例如 LAMP 服务器和 Git 服务器)进行分组?
完全取决于你做什么,需要什么。我更关心的是硬盘性能差、磁盘空间差以及实际使用的 RAM 空间差。
如何保护本地网络的网络服务器安全?
为什么?说真的。虽然我非常注重安全,但你似乎认为你的小电脑里存储着医疗数据。除非你完全不信任与你一起工作的人,否则从安全角度来说,这完全是过分的。尤其是因为任何人都可以带着你的硬件走出门。
对于这样的设置,您推荐使用哪种虚拟化软件
您的意思是在没有人会用作服务器的 Mac OS X 上运行?
如果您使用 Linux、Windows 或 VmWare 之类的服务器,那么这是一个相关的问题。