CobiNet(寧波)推薦文章:
對服(fu)務器工作負載(zai)(zai)進行虛(xu)擬(ni)(ni)化(hua)(hua)已經(jing)成為(wei)(wei)(wei)(wei)越來越普(pu)遍的方法,能夠幫助更(geng)有效地(di)利用計算機硬件以及(ji)輔(fu)助設備(bei)。虛(xu)擬(ni)(ni)化(hua)(hua)為(wei)(wei)(wei)(wei)數(shu)據中心管(guan)理(li)員提供了很(hen)多好處,雖然需要適(shi)當地(di)改(gai)變創建和(he)管(guan)理(li)部署設備(bei)的方式。服(fu)務器應用程(cheng)序虛(xu)擬(ni)(ni)化(hua)(hua)是更(geng)為(wei)(wei)(wei)(wei)艱巨的任務,因(yin)為(wei)(wei)(wei)(wei)在多個服(fu)務器工作負載(zai)(zai)間(jian)適(shi)當分配硬件存(cun)在復雜性。要將不(bu)能共存(cun)于同一(yi)臺機器的應用程(cheng)序在相同主機的多個子��������(zi)分區(qu)(Child partition)間(jian)進行結(jie)合,確(que)實存(cun)在規(gui)格和(he)安(an)全方面挑(tiao)戰。同時,網絡虛(xu)擬(ni)(ni)化(hua)(hua)和(he)母分區(qu)(Parent partition)失效時導致多個同步(bu)服(fu)務器失效的問題也帶來安(an)全和(he)可用性問題。
本文將圍(wei)繞(rao)部署Microsoft ISA Server和(he)硬件虛(������xu)擬化的(de)(de)Microsoft forefront TMG提供具體的(de)(de)指導方案,同時(shi),強烈推薦你(ni)們認真閱讀“相關(guan)參考資料”中提供的(de)(de)資料。
支持虛擬環境
Microsoft ISA Server 和(he)Forefront TMG只能在下(xi����a)列程序下(xia)得到�����硬件虛擬化的支持:
·Microsoft Support Lifecycle
·Microsoft ISA Server 系統要求
·Forefront TMG系統要求
�����·Microsoft Server V������irtualization Validation Program (SVVP)
·Microsoft軟�����件(jian)在(zai)非(fei)Microsoft硬件(jian���)虛擬化軟件(jian)上運(yun)行的支持政策
例(li)如,如果(guo)硬件(jian)虛擬化平臺(tai)被列為(wei)“通過(guo)SVVP驗證(zheng)”(不是“評估(gu)中”),Microsoft ISA Server 和Forefront TMG將支持在該平臺(tai)上(sha�������ng)進行生產用途,Microsoft Product Support Lifecycle、非Microsoft硬件(jian)虛擬化政策(ce)和相應產品版本(ben)的(de)系統要求中有使用限制。
對(dui)于沒有列(lie)為“通過SVVP驗證”的�����硬件(jian)虛擬化平臺,Microsoft ISA Server和Forefront TMG只能(neng)根據�������其他Microsoft支持(chi)政策得到支持(chi),限制情況如下(xia):
·Desktop virtualizati�������on,如Microsoft Virtual PC或者(zhe)類似第三方產品:僅支(zhi)持示范(fan)和教育用途
·Server Virtualization,如Microsoft Virtual Server 或(huo)者類似的第三方產(chan)品,支持生產(chan)用(yong)途,但不�������推薦
重要提示:
正(zheng)如MSKB 897615中所指出的(de),微軟支(zhi)持(chi)工程(cheng)師(shi)在(zai)繼(ji)續檢查(cha)問(wen)題前,可(ke)能會(hui)要求客戶在(zai)真(zhen)正(zheng)硬件(jian)或者SVVP列表硬件(jian)虛(xu)(xu)擬化平臺上重現報(bao)道的(de)問����(wen)題,如果(guo)問(wen)題不能在(zai)硬件(jian)上或者相同級別的(de)SVVP列表服務(wu)器(qi)虛(xu)(xu)擬化產品上重現,那(nei)么問(wen)題可(ke)能會(hui)被轉移給第三方廠商產品支��������(zhi)持(chi)。
部署規劃
任何外圍保(bao)護部(bu)署(shu)的(de)(de)主(zhu)要部(bu)署(shu)標準都(dou)是安全、穩定和性能(neng),確定這三者的(de)(de)優先順序都(dou)需(xu)要深入分析企業的(de)(de)LOB(業務線,line-of-business)應用(yong)需(xu)求,一(yi)般需(xu)求和網(wang)絡安全需(xu)求以及所有(you)法(fa)律(lv)規章等才能(neng)得(de)出結論(lu�����n)。雖然(ran)很難(nan)解決所有(you)可(ke)能(neng)出現(xian)的(de)(de)問題,不過本文將概(gai)述(shu)最常見部(bu)署(shu)的(de)(de)關(guan)�����鍵問題。
這是個(ge)不變������的事實,由于(yu)在虛擬(ni)機之間的資源(yuan)共享,在專用硬件上運(yun)行的服務(wu)(wu)器應(ying)用程(cheng)序(xu)將會(hui)比(bi)在類似虛擬(ni)環境(相同數量(liang)(liang)相同等級的CPU,相同的內存等)運(yun)行的相同應(ying)用程(cheng)序(xu)效果更好。例(li)如,流量(liang)(liang)處理(li)負載可能(neng)會(hui)將基于(yu)硬件的ISA占到(dao)80%的CPU,可能(neng)會(hui)為同樣配(pei)置的虛擬(ni)ISA服務(wu)(wu)器產生一個(ge)拒絕服務(wu)(wu)(DoS),或者由于(yu)子分區(qu)工作(zuo)量(liang)(liang)總量(liang)(liang)和其他(ta)子分區(qu)造成的資源(yuan)停滯而使虛擬(ni)母分區(qu)工作(zuo)量(liang)(liang)過度。
這對(dui)于那些負責虛(xu)擬化服務器應用程序的工(gong)程師而言,在很�������(hen)多(duo)情況下,為特定應用程序的資源�������分配(pei)可能(neng)需(xu)要(yao)擴展(zhan)(zhan)為虛(xu)擬機資源賬戶(hu)共享,而具體(ti)需(xu)要(yao)進(jin)行怎樣(yang)的擴展(zhan)(zhan)只能(neng)通過對(dui)規(gui)劃好(hao)的虛(xu)擬部署進(jin)行測試才能(neng)確定。
同樣的,還應該對數據中心管理過程進行重新(xin)檢(jian)測和重新(xin)定義,以解決(jue)因人為、軟件(jian)或者硬件(jian)原(yuan)因導致的母分區內多個子(zi)分區的損失問題。這種情況不(bu)(bu)僅會對重要的業務運作帶來影響,還是(shi)一(yi)個潛在(zai)的安全問題,如果ISA Server 或者Forefront TMG代表某一(yi)個目前不(bu)���(bu)可使用的子(zi)分區。
定義流量剖析
雖然(ran)為虛擬部署(shu)和(he)硬件配置定義流量(liang)剖(pou)析并沒有什么不同(tong),不過(guo)(guo)定義流量(liang)剖(pou)析(traffic profile)是很重(zhong)要的(de)(de)過(guo)(guo)程,因為一(yi)個子分區(qu)的(de)(de)資源需(xu)求可能會對在�������(�����zai)虛擬主機上運行的(de)(de)其他分區(qu)的(de)(de)資源需(xu)求造成影響,特別(bie)是母分區(qu)。
只有完全明確了流(liu)(liu)量(liang)(liang)剖(pou)析(xi)對部署(shu)計(ji)劃的(de)影響,才能(neng)確定、評估(gu)并滿(man)足ISA Server 和Forefront的(de)性能(neng)需求和安(an)全需求。 MSKB 832017 已經為(wei)大(da)部分基于windows系統的(de)應用(yong)程(cheng)(cheng)序以及微(wei)軟(ruan)公(gong)司創建的(de)應用(yong)程(cheng)(cheng)序(包括ISA Server本身(shen))定義了流(liu)(liu)量(liang)(liang)剖(pou)析(xi),但是它并沒有為(wei)非微(wei)軟(ruan)產品定義流(liu)(liu)量(liang)(liang)剖(pou)析(xi)。 在(zai)很(hen)多情況下(xia)可以做某些假設,郵件服(fu)務器使用(yong)的(de)是公(gong)共郵件協議,如 SMTP、POP3、 IMAP 或(huo)者甚(shen)至(zhi) HTTP(s)(如果能(neng)夠提供(gong)網絡(luo)郵件服(fu)務)。如果你想(xiang)要(yao)使用(yong) ISA Server 或�����(huo)者Forefront TMG來控制自定義應用(yong)程(cheng)(cheng)序流(liu)(liu)量(liang)(liang),你可能(neng)需要(yao)向產品供(gong)應商尋求幫助。 在(zai)某些情況下(xia),你可能(neng)需要(yao)對應用(yong)程(cheng)(cheng)序進行測試(shi),使用(yong)網絡(luo)分析(xi)工具(ju)來分析(xi)流(liu)(liu)量(liang)(liang)。
流(liu)量(liang)(liang)剖析確定(ding)后,下一步就是(shi)確定(ding)每種應用程序或者(zhe)服務的流(liu)量(liang)(liang)負載。這個(ge)步驟也很關鍵,它能夠精確預測其對������ISA Server或者(zhe)Forefront TMG性能以及整個(ge)網絡容量(liang)(liang)的影響。你將需(xu)要對現(xian)有(you)網絡部署(shu)進(jin)行某(mou)種流(liu)量(liang)(liang)分析,從而熟(shu)悉現(xian)有(you)流(liu)量(liang)(liang)負載并(bing)預測隨著公司發展流(liu)量(liang)(liang)需(xu)求將如何變化等(deng)問題。
最佳方案:
1. 在可能(neng)的(de)(de)位置,讓(rang)運行ISA Server或者Forefront TMG的(de)(de)子分區(qu)的(de)(de)流量通過。這樣能(neng)夠(gou)幫助(zhu)你(ni)控制網(wang)絡間的(de)(de)流量并檢測來(lai)自(zi)本地主(zhu)機和遠程(cheng)主(zhu)機的(de)(de)攻擊以(yi)及虛(xu)擬的(de)(de)和物理的(de)(�������de)攻擊。
2. 避免使(shi)用(yong) “allow all”規則。 如果應(ying)用������(yong)程序供應(ying)商不能(neng)為你明確定(ding)義流量剖析,可以(yi)試試你喜歡的(de)網絡捕捉工具,有時候(hou)也能(neng)派上用(yong)場。
3. 將(jiang)RPC和DCOM限定(ding)到特定(ding)端口(kou)(kou)。 在默認(ren)情況下,當相關服(fu)務器應用(yong)程序啟動(dong)并請求連接和套接時(shi),RPC和DCOM通(tong)常會暫時(shi)使用(yong)任(ren)何(he������)有(you)效的端口(kou)(kou)。通(tong)過限制(zhi)RPC和DCOM可用(yong)的端口(kou)(kou)范圍(wei),你(ni)同樣可以限制(zhi)可接受的流量剖析。
定義安全范圍
這個步驟涉及(ji)很多方面,還有一些(xie)基本(ben)要求,你必(bi)須讓所有安全、網絡、應(ying)用程序等(deng)相關(guan)���������管理人(ren)員共同參與決議,這樣就能更加全面地分析技(ji)術(shu)需求等(deng)問(wen)題,另(ling)外(wai)還應(ying)該考慮(lv)合規和審計問(wen)題。
應用程序安全
應(ying)(ying)該(gai)要避免混淆單個母分(fen)區(qu)內(nei)不同安(an)全層面的虛擬應(ying)(ying)用程(cheng)序(xu)或(huo)者服(fu)務器,特別是(shi)當這些(xie)(xie)應(ying)(ying)用程(cheng)序(xu)或(huo)者服(fu)務器中涉及網絡(luo)外圍(wei)時。當相鄰子(zi)分(fen)區(qu)或(huo)者母分(fen)區(qu)作為(wei)游戲服(fu)務器的主機(ji)時,應(ying)(ying)該(�������gai)避免讓Exchange復雜化,這也是(shi)ISA和TMG能夠(gou)為(wei)主機(ji)間(jian)提供保護的另一位置(zhi)。因為(wei)位于單獨母分(fen)區(qu)的子(zi)分(fen)區(qu)通常位于單獨網絡(luo), 你可以使(shi)用ISA或(huo)者TMG來(lai)隔離這些(xie)(xie)應(ying)(ying)用程(cheng)序(xu)(如(ru)果部署在專(zhuan)有硬件上)以實現更高的整(zheng)體安(an)全性。
最佳方案:
1. 在母分區(qu)安裝Windows Server 2008 Core。這樣就將攻(gong)擊面和修復(fu)需求限制到最低限度(du),由于Windows 2008 Core并(bing)不支持那些依賴(lai)于 Windows UI機制的應(ying)用(yong)程序,這能(neng)夠幫助避免在母分區(qu)�������安裝不重要應(ying)用(yong)程序。
2. 特定母(mu)分(fen)區(qu)(qu)上的(de)每個(ge)子(zi)(zi)分��������(fen)區(qu)(qu)應該(gai)獲(huo)得同(tong)等安(an)全保護(hu)。例如, 用戶從互(hu)聯網(wang)訪問的(de)Exchange和(he)SharePoint 子(zi)(zi)分(f�����en)區(qu)(qu)應該(gai)盡(jin)量(liang)滿足相同(tong)的(de)安(an)全和(he)訪問要(yao)求, 如果你將 Exchange和(he)SharePoint 服(fu)務器以及游戲服(fu)務器作為子(zi)(zi)分(fen)區(qu)(qu)部署在(zai)相同(tong)的(de)母(mu)分(fen)區(qu)(qu)上,就無(wu)法實(shi)現這(zhe)一點。
3. 母(mu)分區(qu)必須(xu)及時(shi)進行漏(lou)洞修復。母(mu)分區(qu)上的漏(lou)洞可(ke)能會影響所有��������與其相關的區(qu)域。
4. 每個子分(fen)區必須及(ji)時(shi)進(jin)行漏洞修(xiu)復(�������fu)(fu)。雖然未修(xiu)復(fu)(fu)漏洞的(de)(de)子分(fen)區不(bu)會造(zao)成像母(mu)分(fen)區那么大的(de)(de)影響,但是如果受到漏洞攻(gong)擊的(de)(de)子分(f��en)區訪問(wen)母(mu)分(fen)區,就有可(ke)能對(dui)母(mu)分(fen)區帶來類似(si)攻(gong)擊,并對(dui)所有客戶(hu)端造(zao)成威脅。
5. 不(bu)要將母������分(fen)(fen)區作為(wei)工作站使(shi)用。 母分(fen)(fen)區安(an)裝和(he)運行的應(ying)用程序越少,母分(fen)(fen)區面(mian)臨的攻(gong)擊威脅越小。 另外,如(����ru)果你在母分(fen)(fen)區安(an)裝Windows Server 2008 Core,能夠幫助控制威脅。
6. 限(xian)制對母(mu)分(fen)區的(de)訪問(wen)管(guan)理。 管(guan)理母(mu)分(fen)區訪問(wen)權(quan)的(de)賬號(hao)擁(yong)有控(������kong)制所有子分(fen)區的(de)權(quan)限(xian),下文中(zhong)將詳(xiang)細探(tan)討這個問(wen)題(ti)。
7. 使(shi)用基(ji)于(yu)TPM的母分(fen�����)(fen)區(qu)以及(ji)BitLo��������cker。 對母分(fen)(fen)區(qu)訪問控制力越強,子分(fen)(fen)區(qu)就(jiu)能得(de)到越好(hao)的保護。
網絡安全
在虛(xu)擬環境大家最關注的(de)問題(ti)就是(shi)如何(he)(he)管理子分(fen)(fen)區、母分(fen)(fen)區和物理網絡(luo)的(de)通信流量。如果某客(k�����e)戶端(duan)有訪問任何(he)(he)物理網絡(luo)的(de)直(zhi)接權利(li),將會給(gei)相鄰子分(fen)(fen)區和母分(fen)(fen)區帶來很大的(de)安全威(wei)脅,只有強行讓客(ke)戶端(duan)通過流量控(kong)制(zhi)(如ISA Server 或(huo)者Forefront TMG)才能避免(mian)������類似威(wei)脅。 在網絡(luo)中施加(jia)類似流量控(kong)制(zhi)是(shi)網絡(luo)規(gui)劃(hua)中很重要的(de)部(bu)分(fen)(fen),而(er)管理控(kong)制(zhi)則(ze)更為重要。
對ISA 或者TMG服務(wu)器流量的(de)(de)路(lu)(lu)(lu)由并不能簡(jian)單(dan)地(di)通(to�����ng)(tong)過將錯(cuo)(cuo)誤(wu)(wu)流量從通(tong)(tong)信(xin)路(lu)(lu)(lu)徑(jing)中移除而保證網絡的(de)(de)安全性,雖然這與數據(ju)中心(xin)的(de)(de)錯(cuo)(cuo)誤(wu)(wu)路(lu)(lu)(lu)徑(jing)網絡電纜(lan)沒什么區(qu)別,你必(bi)須考慮(lv)的(de)(de)是,在虛擬網絡中對于錯(cuo)(cuo)誤(wu)(wu)路(lu)(lu)(lu)由的(de)(de)流量并沒有明顯(xian)的(de)(de)指示, 而能夠很明顯(xian)地(di)看出(chu)網絡電纜(lan)插入錯(cuo)(cuo)誤(wu)(wu)的(de)(de)物理路(lu)(lu)(lu)徑(jing)配(pei)線(xian)架或者交�����換機。 從這一點來(lai)看,區(qu)分錯(cuo)(cuo)誤(wu)(wu)流量路(lu)(lu)(lu)徑(jing)等相關問題其(qi)實是非常復雜(za)和(he)耗費時(shi)間的(de)(de),避免(mian)這種狀況發生的(de)(de)最(zui)佳做法(fa)就是定(ding)義(yi)并執(zhi)行非常明確的(de)(de)數據(ju)中心(xin)轉換控制政策和(he)系統(tong)(tong)監控/報告系統(tong)(tong)。
最佳做法:
1. 避免在(zai)沒有額外保護的情況下將母分區連接至互聯(lian)網(w�������ang)。 雖然相比于windows之前版(ban)本,Windows Server 2008 過(guo)濾(lv)平(ping)臺(Filtering Platform)為我們(men)提(ti)供了(le)更加(jia)強(qiang)大的主機防火墻(qiang),網(wang)絡安全最佳(jia)做法表明,應該(gai)對網(wang)絡安全進行分層,具體做法就是:在(zai)母分區連接與互聯(lian)網(wang)之間使用外部 layer-3過(guo)濾(lv)設備。位(wei)于獨立�����物理主機上的ISA Server或(huo)者Forefront TMG能夠(gou)很好(hao)地幫助實現這一目的。
2. 避免將母(mu)分區(qu)(qu)連(lian)接(jie)到任(ren)何(he)虛(xu)擬網(wang)(wang)絡(luo),除�������非是非常有必要的情況(kuang)下。 因為(wei)母(mu)分區(qu)(qu)是保持子分區(qu)(qu)正(zheng)常運行的關鍵,而母(mu)分區(qu)(qu)可能至(zhi)少(shao)使用一個物理網(wang)(wang)絡(luo),向母(mu)分區(qu)(qu)提(ti)供的子分區(qu)(qu)接(jie)入點(dian)越少(shao)越好。例(li)如(ru), 母(mu)分區(qu)(qu)是無法看到Hyper-V “Local”虛(xu)擬網(wang)(wang)絡(luo)的,因此可以把該網(wang)(wa������ng)絡(luo)作為(wei)只(zhi)能由連(lian)接(jie)的子分區(qu)(qu)使用的隔離邊(bian)界網(wang)(wang)絡(luo)。
3. 避免(mian)在多(duo)個(ge)客戶端間共享相(xiang)同(tong)的互聯(lian)網(wang)(wang)虛擬交換機連接。 如(ru)果你的游戲服務(wu)器子(zi)分區與(yu)ISA / TMG子(�������zi)分區共享互聯(lian)網(wang)(wang)連接,就很難確保網(wang)(wang)絡(luo)流量的安全性, 最(zui)好就是任(ren�����)何需要互聯(lian)網(wang)(wang)訪(fang)問(wen)的子(zi)分區必須通過 ISA / TMG子(zi)分區來(lai)訪(fang)問(wen)網(wang)(wang)絡(luo)。
4. 避免在同一(yi)個(ge)母(mu)分(fen)區(qu)整合周邊網(wang)(wang)絡(������luo)和設備 在任何部(bu)署中(zhong)(zhong),對周邊網(wang)(wang)絡(luo)的使用都是為了(le)在不同信任級別(bie)間的網(wang)(wang)絡(luo)創(chuang)建(jian)安全(quan)分(fen)界。如果(guo)將所有這些(xie)機器(qi)和網(wang)(wang)絡(luo)放在相同的母(mu)分(fen)區(qu) ,就很可能無意(yi)中(zhong)(zhong)通(tong)過一(yi)個(ge)或者多個(ge)母(mu)分(fen)區(qu)虛(xu)擬網(wang)������(wang)絡(luo)連(lian)接(jie)或者將服務器(qi)分(fen)配給錯誤的虛(xu)擬網(wang)(wang)絡(luo)等情況(kuang)下,在這些(xie)安全(quan)分(fen)界中(zhong)(zhong)搭建(jian)連(lian)接(jie)。
����� 5. 避免為(wei)了簡化虛擬網絡(luo)設計而破壞(hu�����ai)(huai)了周邊網絡(luo)設計。 創建(jian)周邊網絡(luo)設計的目的是為(wei)了滿足多種資源的需求,如果硬件中的設計受(shou)到破壞(huai)(huai)虛擬網絡(luo)的設計必然也將被(bei)破壞(huai)(huai)。
母分區
不管虛(xu)擬部署放置在邊緣還是(shi)中心(xin)位(wei)置,母分區都是(shi)最(zui)重要最(zui)關鍵的(de)機器,如果母分區被破(po)壞(huai)或者失(shi)效,所有子分區������都將受到威(wei)脅。
最佳做法:
1�����. 使用通(tong)過Windows Hardware Qualit����y Labs 認(ren)證(zheng)的硬件:
· Windows Server 2008. 如果你(ni)期望擁有服務(wu)器(qi)級別的(de)功能和可靠性,是不可能通過使用(yong)(yong)家用(yong)(yong)電腦級別的(de)系統(tong)硬件(jian)或(huo)者(zhe)驅(qu)(qu)動(dong)(dong)來(lai)實現的������(de)。 在選擇硬件(jian)設(she)備和相關驅(qu)(qu)動(dong)(dong)程(cheng)序時必須(xu)對服務(wu)器(qi)工作量進行(xing)測試,以確保(bao)所選硬件(jian)能夠保(bao)證虛擬(ni)部署經得起重荷(he)。 雖然為(wei)windows vista編寫的(de)驅(qu)(qu)動(dong)(dong)程(cheng)序能夠“適用(yong)(yong)于” Windows Server 2008,不過很難(nan)保(bao)證這些驅(qu)(qu)動(dong)(dong)能夠承受服務(wu)器(qi)應用(yong)(yong)程(cheng)序或(huo)虛擬(ni)帶來(lai)的(de)重荷(he)。
· Hyper-V. 通過選擇合適的(de)(de)硬(ying)件(硬(ying)件可(ke)以滿足專門針對(dui)Microsoft Hypervisor的(de)(de)WHQL測試(shi)的(������de)(de)要求),可(ke)以保證虛(xu)擬部(bu)署的(de)(de)順利進行(xing)。很多(duo)硬(ying)件供應商都(dou)會與所有服(fu)務(wu)器虛(xu)擬供應商緊密合作(zuo)以確(que)保他們的(de)(de)產品能(neng)夠適用于一個或更多(duo)服(fu)務(wu)器虛(xu)擬化(hua)平臺。
2. 保持系統驅動(dong)程(cheng)序的(de)(de)正常運(yun)作。 服務器網絡(luo)出現(xian)問題最常見(jian)的(de)(de)原因都是(shi)因為(wei)系統驅動(dong)本(ben)身,大多數是(shi)因為(wei)網絡(luo)驅動(dong)。當(dang)這些驅動(dong)與虛擬(ni)化解決方������案中的(de)(de)其(qi)他高性能驅動(dong)結合使用時,系統驅動(dong)的(de)(de)性能和可(ke)靠性顯得尤(you)為(wei)重要。 然(ran)而(er)事實卻(que)總非如此,尤(you)其(qi)是(shi)在(zai)測試環境中,你應該考慮(lv)將(jiang)生產部(bu)署限制給(gei)簽名驅動(dong)程(cheng)序。
3. 在(zai)母分區使用(yong) Windows Server 2008 Core 。 這樣能夠將任何Windows Server 部署面臨的攻擊率降�����到(dao)最低,同(tong)時會限制用(yong)戶對安(an)裝狀況的影(ying)響。
4. 禁(jin)用母分(fen)區的(de)任(ren)何對外的(de)NIC。 在創建供子分(fen)區使(shi)用的(de)“外部(bu)”虛(xu)擬(ni)交換機后(hou),應該禁(jin)用母分(fen)區的������(de)相關虛(xu)擬(ni)NIC,以防止互聯(lian)網訪問母分(fen)區。
5. 如果不(bu)(bu)(bu)能(neng)禁用(yong)(yong)母(mu)分區(qu)的“外部”虛(xu)擬(ni)交換(huan)機,解除所�������有L3+協(xie)議并為(wei)那些NIC啟用(yong)(yong)WFP。 通過(guo)解除協(xie)議并在WFP設置強限(xian)制性政策,不(bu)(bu)(bu)能(neng)使用(yong)(yong)協(xie)議(攻擊(ji)點)通信的主機就不(bu)(bu)(bu)會受到(dao)網絡攻擊(ji),因為(wei)相(xiang)關協(xie)議已經(jing)被解除和過(guo)濾,換(huan)句話說,“我(wo)聽(ting)不(bu)(bu)(bu)到(dao)你,你別想吵到(dao)我(wo)”。
6.��� 如(ru)果(guo)(guo)上(shang)述步驟還(huan)不能保護母分區(qu),可(ke)以使用外(wai)部(bu) layer-2+ 防(fang)火墻。沒有(you)理由讓母分區(qu)受到互聯網攻(gong)擊,如(ru)果(guo)(guo)正在考慮采取這種部(bu)署,應(ying)該重(zhong)新評估整個計劃。
7. 使用(yong)專用(yong)的(d�����e)OOB(Out-of-Band)網絡(luo)連(lian)(lian)接(jie)來管�������理(li)母分(fen)區的(de)連(lian)(lian)接(jie)。
· 專用連(lian)接:提供與任何虛擬網絡不相關������(guan)的(de)網絡連(lian)接,即使���虛擬網絡機制出錯,母分區也能繼續正常運作。
· OOB連接: 通過將(jiang)母分區管理從客(ke)戶端(duan)網絡隔(ge)離出來,可(ke)以(yi)讓(rang)�������母分區免受來自互(hu)聯網的應用程序攻(gong)擊。
8. 在Windows Server 2008上(shang)使用支持TPM的(de)硬件(jian)和(he)Bitlocker來控制對母分(�������fen)區(qu)(qu)的(de)訪問,以保護(hu)子分(fen)區(qu)(qu)磁盤和(he)定義文(wen)件(jian)免受未經授權的(de)訪問。服(fu)務器盜(dao)竊事故是任何部(bu)署都必須考(kao)慮(lv)的(de)問題(ti), 而在單個服(fu)務器能(neng)夠獲取多(duo)個服(fu)務器信息更(geng)是讓黑(hei)客(ke)(ke)們垂涎三(san)尺。通(tong)過將所(suo)有客(ke)(ke)戶端放在 Bitlocker保護(hu)磁盤,能(neng)夠有效抵御(yu)那些(xie)黑(hei)客(ke)(ke)的(de)攻擊。
母分區和(he)客戶端(duan)連接
必須根據(ju)整(zheng)個(ge)環境的(de)安全需求來平(ping)衡(heng)虛(xu)(xu)擬(ni)(n������i)(ni)網(wang)(wang)(wang)(wang)絡的(de)需求。例如,每(mei)個(ge)分區(qu)連(lian)接(與一個(ge)NIC相(xiang)連(lian))的(de)單個(ge)虛(xu)(xu)擬(�����ni)(ni)(ni)網(wang)(wang)(wang)(wang)絡與通過(guo)虛(xu)(xu)擬(ni)(ni)(ni)交換機由多個(ge)分區(qu)共享(xiang)的(de)物理連(lian)接相(xiang)比,前者能(neng)夠提(ti)供更好的(de)主機脫離(li)(off-host)網(wang)(wang)(wang)(wang)絡性能(neng)。如果子分區(qu)占(zhan)用相(xiang)對較少的(de)網(wang)(wang)(wang)(wang)絡資源,可以考慮讓其與其他(ta)子分區(qu)共享(xiang)虛(xu)(xu)擬(ni)(ni)(ni)網(wang)(wang)(wang)(wang)絡。
ISA/TMG子分區性能(neng)考(kao)慮
在確定ISA / TMG虛擬(ni)(ni)機資源(yuan)前需要(yao)先(xian)對(dui)性(xing)(xing)能(neng)(neng)進行評估。要(yao)實現這一目(mu)的,必須參(can)考(kao)ISA Server Performance Best Practices性(xing)(xing)能(neng)(neng)監(jian)測建議(yi)(針對(d����ui)你的ISA版本的建議(yi))或者TMG性(xing)(xing)能(neng)(neng)監(jian)測參(can)考(kao)建議(���yi)收(shou)集一段時間(jian)內(至少兩(liang)周)的性(xing)(xing)能(neng)(neng)數據,以便(bian)獲取所使用的機器(qi)資源(yuan)的統計模型(xing)。這樣一來(lai),你就知道支持虛擬(ni)(ni)ISA / TMG服務器(qi)所需要(yao)的最小機器(qi)資源(yuan)量了。
確定ISA / TMG虛擬機需(xu)求后,下一(yi)步就是建立測(ce)試(shi)(shi)(shi)環(huan)境(jing),以便在測(ce)試(shi)(shi)(shi)環(huan)境(jing)中(zhong)部署和測(ce)試(shi)(shi)(shi)生產環(huan)境(jing)中(zh�����ong)將使(shi)用的工作(zuo)量(liang)以及(ji)流量(liang)負載組合。只(zhi)有通過預(yu)先測(ce)試(shi)(shi)(shi)才能確定如何在子分區間的最佳資(zi)源分配方式。
CPU和RAM
任(ren)何(he)在特定(ding)配(pei)(pei)置的(de)(de)(de)硬件上(shang)(shang)(shang)運(yun)行(xing)某種級別功能的(de)(de)(de)服務(wu)器(qi)工(gong)(gong)作(zuo)(zuo)(zuo)量(liang),性(xing)(xing)能上(shang)(shang)(shang)都(dou)(dou)比不上(shang)(shang)(shang)共(gong)享(xiang)多(duo)種工(gong)(gong)作(zuo)(zuo)(zuo)量(liang)的(de)(de)(de)機(ji)器(qi)資源(在相同(tong)配(pei)(pei)置的(de)(de)(de)硬件上(shang)(shang)(shang)運(yun)行(xing))。不管(guan)工(gong)(gong)作(zuo)(zuo)(zuo)量(liang)合(he)并在單(dan)一的(de)(de)(de)操(cao)(cao)作(zuo)(zuo)(zuo)系統還是工(gong)(gong)作(zuo)(zuo)(zuo)量(liang)在多(duo)個(ge)(ge)虛(xu)擬機(ji)間(jian)共(gong)享(xiang),這個(ge)(ge)理論都(dou)(dou)成立。事實上(shang)(shang)(shang),當工(gong)(gong)作(zuo)(zuo)(zuo)量(liang)與單(dan)個(ge)(ge)操(cao)(cao)作(zuo)(zuo)(zuo)系統結(jie)合(he)時,管(guan)理多(duo)個(ge)(ge)工(gong)(gong)作(zuo)(zuo)(zuo)量(liang)的(de)(de)(de)資源需求會相應(ying)增加。出于(yu)這個(ge)(ge)原因,你最好熟悉一下(xia)你所(suo)(suo)部署的(de)(de)(de)虛(xu)擬技術的(de)(de)(de)性(xing)(xing)能最�������佳(jia)做法建議(yi)。雖然每個(ge)(ge)供應(ying)商所(suo)(suo)提供的(de)(de)(de)虛(xu)擬化功能都(dou)(dou)是類似(si)的(de)(de)(de)(從虛(xu)擬類型(xing)來看,包(bao)括桌面������(mian)、服務(wu)器(qi)和數據中心(xin)),不過這些不同(tong)供應(ying)商的(de)(de)(de)虛(xu)擬功能對于(yu)指定(ding)的(de)(de)(de)服務(wu)器(qi)工(gong)(gong)作(zuo)(zuo)(zuo)量(liang)或(huo)者工(gong)(gong)作(zuo)(zuo)(zuo)量(liang)組(zu)合(he)將(jiang)會產生不同(tong)的(de)(de)(de)結(jie)果。
最佳做法:
1. 避(bi)免(mian)在相同母分(fen)區(qu)結合高(gao)資源子分(fen)區(qu)。ISA / TMG可能會耗費很多(duo)資源,這將(jiang)取決于可能使用的流量性(xing)質和第三方插件。如果有多(duo)個高(gao)耗能服������務(wu)器工(gong)作(zuo)量爭奪(duo)相同的資源,所有工(gong)作(zuo)量的性(xing)能都會降低,也可能出現拒絕服務(wu)。
2. 盡(jin)量多地(di)向ISA / TMG提供(gong)CPU和內存(cun)。因為I������SA/TMG必(bi)須(xu)與其他子分區共(gong)享資源,向ISA/TMG提供(gong)越多的內存(cun)和CPU,在(zai)虛擬機(ji)中ISA/TMG的性能也將越好。
注意:在ISA服務器中(zhong),不(bu)管(guan)是ISA服務器本身,抑或是第三方插件,都不(bu)會從4個以上(shang)的CPU或者大于4G�������B的內存中(zhong)受(shou)益(yi),TMG并沒(mei)有這種限制。
3. 使用(yong)虛(xu)擬(ni)化技術(能夠承受最大的工作量任務)。如果你的流量性(xing)質要(yao)求每秒(miao)1Gb或以上的網絡性(xing)能,那么使用(yong)提供最高每秒(miao)100Mb性(xing)能的硬件虛(xu)擬(ni)化產(chan)品(pin)可能會導致服������務器超負荷(he)或者(zhe)性(xing)能表現不(bu)佳。
文章編輯:CobiNet(寧波),本公司專注于電訊配件,銅纜綜合布線系列領域產品研發生產七類,六類,超五類屏蔽網線雙絞屏蔽線及相(xiang)關(guan)模塊配件,歡迎來(lai)電咨詢0574 88168918;
我們是萬兆網絡模塊,萬兆屏蔽模塊,10G網絡模塊,10G屏蔽模塊,keystone jack生產廠家。
