Virtualization

專用伺服器、背面多個虛擬機、HyperV 前端……我將 TMG 放在哪裡?

  • November 7, 2011

作為一個後續問題,我如何在 HyperV 上託管多個只有幾個公共 IP 地址的伺服器,我現在正試圖找出 ISA/TMG 伺服器的放置位置?它應該被虛擬化,監聽外部 IP 並在內部網路之間發送數據,還是應該託管在主機分區上?上次我玩 ISA/TMG 時,它是一個物理盒子,後面還有其他機器,所以這讓我想到了虛擬選項。給它2個公共IP,然後讓它整理其餘的……給盒子本身1個IP進行管理……它應該以哪種方式工作?

TMG 作為 VM 執行良好,我們有一段 technet 影片描述了使用 TMG 的各種場景,只需Google“虛擬化您的 ISA 或 Forefront TMG 伺服器”。一如既往,在這些事情中,有最佳實踐、良好實踐和愚蠢。

影片所支持的最佳實踐是將您的虛擬化 TMG 安裝在專門用於外圍任務的硬體上。顯然,如果您只有一台伺服器,這將不起作用。但是,只要您有至少 3 個物理網路連接,在單個伺服器場景中,按照 vid 的建議對網路進行分段是很容易的。

  1. 一個將成為將 VM TMG 連接到 Internet(或您的網關路由器)的虛擬/物理網路(即具有外部訪問權限的虛擬網路)——這不能用於硬體管理。在超 V 設置中,我將此網路命名為“黑色”,因為它不安全並且通向大外部。
  2. 一種是將VM TMG 連接到目標VM 的虛擬網路(即沒有外部訪問)——同樣,不用於硬體管理。我將此網路命名為“藍色”,因為它在理論上是安全的,並且它將所有 VM 連結在一起。
  3. 一種是純粹用於硬體管理區域網路的物理網路(Hyper V 根本不使用)。我將其命名為“管理”,最佳實踐是使其與主機不聯網,或者僅從主機訪問網際網路進行更新。

邏輯上它看起來像這樣:

TMG 作為超 V

因此,當您將虛擬網路介面分配給您的 VM 時,TMG VM 將獲得兩個(黑色和藍色),而所有其他 VM 僅獲得藍色。

這很簡單,主要的複雜性是您在嘗試了解 Hyper V 如何允許您將網路連接選為“虛擬交換機”時無論如何都會遇到的問題。我在上面設置了相同的“黑色”網路和“藍色”網路跨越多伺服器集群,發現它工作得很好。信念的基本飛躍是,您必須相信黑網路上的討厭鬼無法通過主機跳到藍網路。無論如何,Hyper V 的安全性已被評為 EAL4+,因此可以公平地說,這是不可能的,除非您的主機受到嚴重威脅。

引用自:https://serverfault.com/questions/328413