Sunday, September 19, 2010

Hyper-V og nettverk (DMZ)

Q: Hva bør man tenke på dersom man skal kjøre virtuelle maskiner i DMZ. Og krever dette dedikerte hosts ?

A: Tja.

Man bør aller helst ha en dedikert host til dette. Men dette gir også andre behov, som eget domene i DMZ, og ekstra hardware spesielt dersom man skal benytte Failover Cluster.

Dersom man verken har penger eller infrastruktur (gjerne begge deler)  som ikke støtter dette, kan man fortsatt oppnå en sikker måte å eksponere disse vmene.

La oss ta utgangspunkt i følgende konfigurasjon:

·         1 Active Directory domene
·         2 Hyper-V noder i Failover Cluster. Begge disse har 6 nettverkskort hver
·         1 iscsi SAN

Man bør begynne med å konfigurere nettverkskortene på Hyper-V hostene.

Siden vi bruker Failover cluster og iscsi SAN, konfigurerer vi 4 av nettverskortene på hostene til å gå mot dette da det er viktig med ytelse og eventuelt failover her. Man kan enten velge å teame disse dersom det er støtte for det, eller bruke MPIO som er innebygd i 2008 R2. Disse er på eget nettverk, adskilt fra LAN.


Vi står da igjen med 2 nettverkskort.
Kort 1 dedikerer vi til LANet + cluster kommunikasjon (bør helst ha eget NIC/nettverk til dette), og konfigurerer et ‘External’ nettverk til dette.
Kort 2 dedikerer vi til DMZ. Også her må vi konfigurere et ‘External’ nettverk slik at disse maskinene er tilgjengelige i nettverket.

Dersom vi nå setter kablene i server, der kabel 1 fra Lanet går til LAN-kortet på server, og kabel 2 fra DMZ-nettverket går til DMZ-kortet i server, har man segmentert to forskjellige nettverk på en og samme host.

(Det er viktig at nettverkene har nøyaktig samme navn, siden man skal benytte hostene i failover clustering. Dersom Node1 feiler, så vil ikke vmene bli migrert til Node2 siden den da ikke har de samme nettverkene tilgjengelig) 

Dette virker nok ganske enkelt, og det er det. Men det man bør tenke på, er å sikre hosten ytterligere mot maskinene som går til DMZ.

Dersom man i Hyper-V Manager går til Virtual Network Manager, så vil man finne nettverkene man har konfigurert til de virtuelle maskinene på hosten.
La oss markere nettverk ‘DMZ’, og ta en nærmere kikk her.

Her ser man at man har standard haket av for ‘Allow management operating system to share this network adapter’

Dette haken bør man ta vekk i denne konfigurasjonen, og heller la den være på på kort 1 som er tildelt LANet. (Slik at man fortsatt kan nå hosten på nettverket) 



Dette var et (kort) eksempel på hvordan man kan segmentere DMZ og LAN på samme Hyper-V host.
Hva du velger å gjøre til slutt, er uansett noe som krever flere vurderinger mtp sikkerhetspolicyen i ditt nettverk. Men dette er en konfigurasjon som blir benyttet av mange der ute, og har vært i bruk i flere år.


No comments: