我有一台 Dell PowerEdge R710,目前在 LAN 内用于托管一些虚拟机。它运行 Windows Server 2016 标准作为主机操作系统,所有 VMS 都在 Hyper-V 中运行
因为它有 4 个网络适配器,所以我考虑将一个网络适配器公开到 WAN 接口,并将其公开到在我的 Hyper-V 上运行的 PfSense(或 Sophos)。然后从 LAN 到服务器上的其他网络适配器,我想将它带到智能交换机,然后从那里,我想利用另外两个网络适配器来使用 LAN 端口。它看起来像这样:
WAN --> PE R710 上的 NIC1 --> 在 Hyper-V 中运行的 PFSense --> PE R710 上的 NIC2 --> 交换机 --> PE R710 上的 NIC3 和 NIC4
我不知道这是否是理想的情况,因为我想确保从 WAN 开始,流量始终到达 PFSense,然后流入我的 LAN。
我的问题是,此设置是否会在服务器上公开我的主机操作系统(Windows Server 2016)和所有底层虚拟机?我需要运行 Freenas 和其他我不想暴露在外面的关键虚拟机。
我如何确保 HOST OS 只能在 LAN 内访问,并且始终使用暴露给 LAN 而不是 WAN 的 NIC?
这真的是理想的设置吗?我目前在一个单独的盒子上运行 PfSense,我想将所有盒子整合到这个服务器中,并在其中运行所有内容。
与运行三台 Core2Duo 机器相比,PE R710 的功耗是多少?根据我的研究,在服务器上运行所有三个虚拟机比在三台单独的机器上运行更划算。
如果我对此设置的问题不清楚,请告诉我。我很乐意为您解答。
多谢。
答案1
主机上的其他应用程序可能会暴露,但可以采取合理的措施来防止这种情况。您的硬件正在成为路由器,因此需要使其像路由器一样安全。如果您的 WAN 由您控制的路由器提供,那么您可能不需要将服务器变成路由器。
看起来主要要做的就是将您的 WAN 端口专用于 Hyper-V,请参阅以下问题:如何在 Hyper-V 中将 NIC 专用于虚拟机
不要“允许管理操作系统共享此网络适配器”。这样您的应用程序就不会尝试使用 WAN 端口。
然后,您将需要使用 pfSense 中的防火墙功能。默认情况下阻止所有内容,并仅允许您需要的网络流量。无论什么应用程序使用该流量,都需要安全且最新。pfSense 需要保持最新状态,如果有任何漏洞,那么他们将能够访问 pfSense 并从那里访问您网络的其余部分。
以太网的戴尔 BIOS 和固件也需要保持更新,因为可能存在一些低级漏洞。