这是我第一次设置Hyper-V或Windows 2008,所以请耐心等待。
我正在设置一台运行Windows Server 2008 R2的相当不错的服务器,作为一个远程(共置)Hyper-V主机。 它将托pipeLinux和Windows虚拟机,最初供开发人员使用,但最终还要做一些虚拟主机和其他任务。 目前我有两个虚拟机,一个Windows和一个Ubuntu Linux,运行的非常好,我打算克隆它们以备将来使用。
现在,我正在考虑configuration开发人员和pipe理员访问服务器的最佳方法,一旦将其移到托pipe工具中,我正在寻求相关build议。 我的想法是build立一个VPN访问服务器上的虚拟机的某些function,但我有几个不同的select去做这个:
将服务器连接到可以创buildVPN并将外部IP映射到虚拟机的现有硬件防火墙(旧式Netscreen 5-GT),虚拟机将通过虚拟接口显示自己的IP。 这个select的一个问题是,我是唯一一个在Netscreen上训练过的人,而且它的界面有点巴洛克式,所以其他人可能难以维护它。 好处是我已经知道如何去做,而且我知道它会做我所需要的。
将服务器直接连接到networking,并configurationWindows 2008防火墙以限制对虚拟机的访问并设置VPN。 我之前没有这样做过,所以它会有一个学习的曲线,但是我愿意学习这个选项是否比Netscreen长期更好。 另一个好处是我不需要在Netscreen界面上训练任何人。 尽pipe如此,我还不确定Windows软件防火墙的function,只要创buildVPN,为外部访问Hyper-V服务器的IP上的某些端口设置规则等,是否足以满足我的需求和简单足够build立/维护?
还要别的吗? 我的方法有什么限制? 什么是最好的实践/什么对你有好处? 请记住,我需要设置开发者访问权限以及消费者对某些服务的访问权限。 VPN是否是正确的select?
编辑:我可能会使用选项2,与RRAS设置创build一个VPN,但我仍然对您的input感兴趣。
我个人会拥有一个单独的物理防火墙(Netscreen或任何你可以放心的)来单独处理VPN,并投资一个带外pipe理系统(如戴尔的DRAC),让你能够低级访问你的服务器和防火墙的控制台端口如果/当你想更新你的固件),如果挂起或崩溃(相信我:这会发生)的虚拟机或主机,或者当你想做无忧的Windows更新等
Netscreen应该支持IPSec移动VPN访问,另外还有两个因素(证书和密码短语)用于身份validation。 过了一段时间,因为我已经使用了一个,但我相信他们有几个VPN选项可用。
使用硬件防火墙(或者真的,“统一威胁pipe理”设备作为防火墙,其中大多数都有现在的防火墙)也将为您提供一些灵活性,包括代理SMTP / DNS请求,DMZ等移动到生产networking托pipe环境。
防火墙是多余的。 特别是对于hyperv主机。 大多数主机无论如何都有2-3个网卡。 使用一个用于hyper-v,不允许在那里使用hyper-v本身(即仅用于虚拟机),并且您不要在那里注意hyper-v来保护服务器;)
另一个 – 使用Windows防火墙只允许远程桌面。 完成。