Hyper-V:為虛擬機分配子網中的公共 IP
我們在 Windows Server 2008 R2 上執行 Hyper-V 伺服器。我訂購了一個子網,因為我們想為您的每個 VM 提供一個公共 IP 地址。
我的數據中心提供商(來自德國的 Hetzner AG)對此進行瞭如下描述:
虛擬化問題
對於這種類型的 IP/子網分配,不可能使用“橋接”設置,因為這樣的設置會出現多個 MAC 地址。VPS(Linux 虛擬伺服器、Xen、vmware 等)必須使用所謂的“路由”設置(VMware:“僅主機網路”)。使用附加子網時,主機系統或 dom0 必須配置子網中的 IP 地址,然後將其用作 VPS 的網關。因此,主機系統的(附加)地址必須在 VPS 中分別配置為網關。此規則的一個例外是“openvz”,它不需要網關。在主機系統或 dom0 上,必須為每個虛擬化啟動“ip_forward”:
好吧,這對我來說意味著什麼,我必須如何配置 hyper V?
謝謝你的幫助!
他們的意思是,如果您的設置中有多個不同的客戶端,每個客戶端都有自己的虛擬機,那麼在橋接模式下使用子網可以讓我在我的虛擬 NIC 上“查看”其他客戶端的 MAC。這有點安全問題,理想情況下,您需要完全隔離每個客戶端,這樣就不會有一個客戶端對您的另一個客戶端造成“傷害”的風險,而您最終可能會對此負責.
您託管設施的人員只是在提醒您,如果您做自己想做的事情,您可能會遇到麻煩。
我不確定是否可以在 Hyper-V(或 VMWare)上使用公共 IP 進行僅主機網路連接。我認為您應該做的是將所有這些 IP 分配給主機,然後為每個 IP 創建適當的 NAT 等規則,以指向每個客戶端 VM 的專用網路。
現在,如果這是我們正在談論的一個組織的伺服器,並且您在安全方面不需要隔離每個服務,那麼您可能不會關心這一點。就我個人而言,我仍然會隔離它們,這樣如果有人受到攻擊,攻擊者就無法僅通過查看 ARP 來發現新機器。