我正在设置一台运行 Windows Server 2008 R2 的相当不错的服务器,作为远程(共置)Hyper-V 主机。它将托管 Linux 和 Windows VM,最初供开发人员使用,但最终也用于执行一些 Web 托管和其他任务。目前我有两台 VM,一台是 Windows,一台是 Ubuntu Linux,运行良好,我计划克隆它们以供将来使用。
现在,我正在考虑将服务器移至主机托管设施后,配置开发人员和管理员对服务器的访问权限的最佳方法,并寻求相关建议。我的想法是设置 VPN 以访问服务器上虚拟机的某些功能,但我有几种不同的选择:
将服务器连接到现有的硬件防火墙(较旧的 Netscreen 5-GT),该防火墙可以创建 VPN 并将外部 IP 映射到虚拟机,虚拟机将通过虚拟接口公开自己的 IP。这种选择的一个问题是,我是唯一一个接受过 Netscreen 培训的人,而且它的界面有点复杂,所以其他人可能难以维护它。优点是我已经知道如何做,而且我知道它会满足我的需要。
将服务器直接连接到网络并配置 Windows 2008 防火墙以限制对虚拟机的访问并设置 VPN。我以前没有这样做过,因此需要学习一段时间,但我愿意了解此选项是否比 Netscreen 更好。另一个优点是我不必在 Netscreen 界面上培训任何人。不过,我不确定 Windows 软件防火墙在创建 VPN、设置 Hyper-V 服务器 IP 上某些端口的外部访问规则等方面的功能。它是否足以满足我的需求并且易于设置/维护?
还有什么?我的方法有什么局限性?最佳实践是什么/什么对你有用?请记住,我需要设置开发人员访问权限以及消费者对某些服务的访问权限。VPN 是正确的选择吗?
答案1
我个人会有一个单独的物理防火墙(Netscreen 或任何您觉得舒服的防火墙),单独处理 VPN,并投资带外管理系统(如戴尔的 DRAC),以便在虚拟机或主机挂起或崩溃(相信我:这种情况会发生)时,或者当您想要无忧地进行 Windows 更新等时,为您提供对服务器的低级访问权限(如果/当您想要更新固件时,还可以访问防火墙的控制台端口)。
Netscreen 应该支持 IPSec 移动 VPN 访问,并具有双重身份验证(证书和密码)的额外优势。我已经有一段时间没用它了,但我相信他们有几种可用的 VPN 选项。
使用硬件防火墙(或实际上是“统一威胁管理”设备,即具有当今大多数防火墙所具有的所有附加功能的防火墙)也将为您在转移到生产网络托管环境时在代理 SMTP/DNS 请求、DMZ 等方面提供一定的灵活性。
答案2
正如评论所说,2012 R2 实际上非常适合用于这种场景。至于远程访问,每台机器都应该有自己的远程访问,而不应该依赖于主机或其他虚拟机,这意味着您不想“引导”任何人将您的主机添加到他们的 Hyper-V 管理器上以访问他们的虚拟机。如果他们无法远程桌面访问它,那就太糟糕了。
话虽如此,我解决这个问题的一种方法是设置一个内部 DNS 服务器来解析您的虚拟机的名称,并让它们访问虚拟机所在的网络段(这应该与您的主机所在的网段不同),并在您的虚拟机上配置本地身份验证,当然还要适当地配置防火墙。
VPN 肯定可以实现这一点。您甚至可以设置一个托管 VPN 服务器并桥接两个网段的 VM。我偏爱 OpenVPN,但您喜欢哪种就哪种吧。其理念是,一旦他们通过了 VPN 的身份验证,这就是他们访问该网段的唯一方式。
进一步深入研究实施细节,访问虚拟机的网络段可能是主机上的虚拟网络,并且虚拟 VPN 服务器在虚拟网络中和物理网络中都有支路,并具有适当的 iptables 配置和 OpenVPN 配置设置以允许桥接。
另外,请记住,消费者并不是最精通计算机的人,这取决于您的实际客户。您甚至可以设置“VNC 代理”,在我的实现中,它只不过是美化的端口转发,但它足以让基本最终用户下载 VNC 客户端并输入 IP 地址和端口,并且足够简单。
我没有深入研究如何保护您可以访问互联网的机器,但这需要额外的 SF 问题。