我有一个运行Xenserver 5.6的服务器集群,用于托pipenetworking电子邮件和VoIP服务。 我正在考虑在每个XenServer主机上设置一个chrooted绑定服务器(我的意思是在实际的服务器上不在虚拟机内)
这是一个坏主意吗?
作为一般规则,我build议不要在Xen Dom0(对硬件具有完全访问权限的特权域以及主机上的所有虚拟机)上运行绝对最低限度的服务。
这主要是出于安全原因 – 作为一个经验法则,您只能在对您最有价值的机器上运行基本服务 – 如果您的Dom0受到攻击,则您的所有DomU(访客虚拟机)也会受到影响,例如攻击者可以访问每个虚拟机的控制台。
如果你想运行一些域名服务器,而且它们是面向公众的,并且是权威的,那么把它们作为虚拟机运行是没有问题的,但是你应该尽一切努力将它们(至less需要两个)完全分开网段以确保可用性。 例如:
ns1.redhat.com. 463 IN A 66.187.233.210
ns2.redhat.com. 463 IN A 209.132.183.2
ns3.redhat.com. 462 IN A 209.132.176.100