專用伺服器、背面多個虛擬機、HyperV 前端……我將 TMG 放在哪裡？

作為一個後續問題，我如何在 HyperV 上託管多個只有幾個公共 IP 地址的伺服器，我現在正試圖找出 ISA/TMG 伺服器的放置位置？它應該被虛擬化，監聽外部 IP 並在內部網路之間發送數據，還是應該託管在主機分區上？上次我玩 ISA/TMG 時，它是一個物理盒子，後面還有其他機器，所以這讓我想到了虛擬選項。給它2個公共IP，然後讓它整理其餘的……給盒子本身1個IP進行管理……它應該以哪種方式工作？

TMG 作為 VM 執行良好，我們有一段 technet 影片描述了使用 TMG 的各種場景，只需Google“虛擬化您的 ISA 或 Forefront TMG 伺服器”。一如既往，在這些事情中，有最佳實踐、良好實踐和愚蠢。

影片所支持的最佳實踐是將您的虛擬化 TMG 安裝在專門用於外圍任務的硬體上。顯然，如果您只有一台伺服器，這將不起作用。但是，只要您有至少 3 個物理網路連接，在單個伺服器場景中，按照 vid 的建議對網路進行分段是很容易的。

1. 一個將成為將 VM TMG 連接到 Internet（或您的網關路由器）的虛擬/物理網路（即具有外部訪問權限的虛擬網路）——這不能用於硬體管理。在超 V 設置中，我將此網路命名為“黑色”，因為它不安全並且通向大外部。
2. 一種是將VM TMG 連接到目標VM 的虛擬網路（即沒有外部訪問）——同樣，不用於硬體管理。我將此網路命名為“藍色”，因為它在理論上是安全的，並且它將所有 VM 連結在一起。
3. 一種是純粹用於硬體管理區域網路的物理網路（Hyper V 根本不使用）。我將其命名為“管理”，最佳實踐是使其與主機不聯網，或者僅從主機訪問網際網路進行更新。

邏輯上它看起來像這樣：

因此，當您將虛擬網路介面分配給您的 VM 時，TMG VM 將獲得兩個（黑色和藍色），而所有其他 VM 僅獲得藍色。

這很簡單，主要的複雜性是您在嘗試了解 Hyper V 如何允許您將網路連接選為“虛擬交換機”時無論如何都會遇到的問題。我在上面設置了相同的“黑色”網路和“藍色”網路跨越多伺服器集群，發現它工作得很好。信念的基本飛躍是，您必須相信黑網路上的討厭鬼無法通過主機跳到藍網路。無論如何，Hyper V 的安全性已被評為 EAL4+，因此可以公平地說，這是不可能的，除非您的主機受到嚴重威脅。

引用自：https://serverfault.com/questions/328413