我想将客户端站点上的虚拟机复制到我们的集群。我们的集群由 3 个 Hyper-V 组成,并使用 san 作为存储。集群位于域中。副本代理已配置,但与集群具有相同的子网,因为它仅选择主机网络。
那么是否可以从不同的域将异地虚拟机复制到我们的集群中。
- 我担心在客户端站点和副本代理子网之间创建 VPN,因为副本代理子网与我的域子网相同,并且群集中的 hyperv 主机位于域中。
有没有什么方法可以让我们顺利地将虚拟机从不同站点复制到我们的集群中?
使用端口 443 进行复制是推荐的方法吗?
答案1
可以将来自不同域的异地虚拟机复制到您的集群中。您只需记住:
如果源主机无法验证目标主机的身份,Hyper-V 副本将无法运行,反之亦然。这是一件好事,但也可能是一件麻烦事。您有两种选择:Kerberos 身份验证和基于证书的身份验证。
情况1: 如果这些网站与VPN 隧道,您可以在 Active Directory 域或 Active Directory 林之间设置 TRUSTS(取决于您的情况),然后使用 Kerberos作为验证方法。在这种情况下,Hyper-V 副本流量将默认为端口 80 并以未加密的方式运行,但您有 VPN 连接,因此应该没问题。
案例 2:如果你不想或无法在这两个域之间建立信任关系 – 那么您使用基于证书的身份验证,如果是的话,你不应使用 VPN 连接在这两个站点之间进行 Hyper-V 副本,因为使用 Cert. Auth. 所有流量都经过加密(只要主机的私钥得到充分保护,直接通过互联网传输基于证书的 Hyper-V 副本流量就尽可能安全)。
这是一个不错的邮政。
如果您的副本流量将直接穿越不安全的网络(Internet),请不要使用 Kerberos 身份验证。源服务器和副本服务器将安全地验证彼此的身份,但副本流量未加密。但是,如果您使用的是安全隧道(例如站点到站点 VPN),则可以随意使用 Kerberos。使用加密隧道传输加密流量的价值不大。此外,由于基于证书的加密是不对称的,因此加密数据包比未加密的源大得多。双重加密会大大增加有效负载大小。
有关 VPN 和子网的部分:
我担心在客户端站点和副本代理子网之间创建 VPN,因为副本代理子网与我的域子网相同,并且群集中的 Hyper-V 主机位于域中。
是否创建 VPN 取决于您选择的路径。无论如何,我认为在与域子网和 Hyper-V 主机相同的子网上拥有副本代理不会有什么问题。我唯一担心的是副本流量带宽利用率及其对我的网络的影响。请记住,Hyper-V 副本允许您使用便携式媒体执行初始复制。