ISA Server、虚拟机、托管服务器的使用 
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://wangchunhai.blog.51cto.com/225186/42959 | ||||||||||||||||||
因为业务发展的需求,许多单位都进行了“主机托管”业务,即购买一台服务器放到当地电信、网通的机房,使用这种业务时,托管服务器可以实现不间断、高速接入Internet的需求,并且可以获取一个固定的IP地址,用于开展互联网业务或者其他业务。但这时普遍出现两个问题:
(1)因为托管单位如电信、网通并不为托管服务器提供防火墙服务(或提供有限的服务),如果在托管的服务器前面安装硬件防火墙,除了成本高外,也不现实(进行服务器托管时是按照托管服务器占用的空间收费的,通常只提供服务器的接入,没有再在服务器前安装一个硬件防火墙的),这时,为了提高托管服务器的安全性,只能安装“软件”防火墙。但安装防火墙之后、怎样发布这些服务呢(如WWW、FTP、SQL Server等)?
(2)如果单位开展的业务是多种多样的,例如,有的需要安装SQL Server,有的需要安装PHP,可能还有一些特殊的需求。但这些服务是不能“共存”于同一个系统上的,就是说,用一台服务器满足不了需求。如果托管多台服务器,则会造成成本和维护费用的上涨,单位是不能接受的。
本章将ISA Server 2004与VMware Server有机结合解决了这些问题,解决方案如下:
(1)在主机系统上安装ISA Server 2006标准版,用来解决安全和服务器的发布问题。
(2)在主机系统上安装VMware Server,在VMware Server上安装虚拟机解决服务器数量不够的问题。
【说明】虽然现在Microsoft已经推出了ISA Server 2006,但在托管服务器等与本案例相似的环境中,还是使用ISA Server 2004为宜,在这种情况下使用ISA Server 2006,会有一些问题。
因为需要安装ISA Server 2004和安装VMware Server并运行虚拟机,对服务器的配置要求如下。
(1)CPU:Intel P4至强 3.0以上,推荐双CPU,或者使用Intel酷瑞2双核CPU。
(2)内存:双通道DDR,至少2GB,推荐3GB或以上。
(3)硬盘:10000转SCSI硬盘,至少3块硬盘(推荐4块以上),73GB(或146GB)。使用RAID5,另外需要多买一块硬盘备用(当RAID中的硬盘有故障时立刻更换,而不是关机之后再购买硬盘,这是许多人所不注重的)。推荐使用双通道320MB/s的RAID卡。
(4)外形:服务器使用2U机架式。
(5)主机操作系统:推荐使用Windows Server 2003。
在本文中,用一台主机形成下面的网络环境,如图7-22所示。
 图7-22 使用VMware Server组成的应用环境在图7-22中,主机系统安装Windows Server 2003、ISA Server 2004标准版、VMware Server 1.01,在VMware Server上实现3台虚拟机。其中Windows Server 2003的地址为202.206.198.195,所有虚拟机使用VMnet1虚拟交换机,其网段为192.168.10.0/24,这3台虚拟机的具体参数如表7-1所示。
表7-1 虚拟机具体参数
另外,在本例中,网站、邮件系统等服务使用heuet.org相关的域名对外发布。这需要在heuet.com的DNS服务器中,设置所有域名(A记录为*)指向202.206.198.195,同时设置MX记录指向202.206.198.195,这些不做过多介绍。
主要步骤如下:
(1)准备好主机硬件,在主机硬件上安装Windows Server 2003或Windows Server 2003 R2企业版,并设置好IP地址(托管时的IP地址)。
(2)进入域名管理系统,修改DNS域名解析地址为托管主机IP地址。
(3)在主机上安装VMware Server,并在VMware Server中创建虚拟机并安装操作系统。
(4)在主机上安装ISA Server 2004,并创建防火墙策略。
这样,把VM1、VM2、VM3当作ISA Server的内网计算机发布出去就可以了,这些可以参考ISA Server的资料。
在发布的时候,建议:
1、不要创建“允许”“内网”访问“外网”的规则,这样 VM1等虚拟机将不能访问外网,这可以提高安全性。如果VM1等虚拟机需要访问某个网站,例如Microsoft的update站点,为VM等虚拟机单独创建规则即可,即创建
“允许” (来源)VM1 访问 (目的) Microsoft网站。
2、如果要使用终端服务远程管理主机及虚拟机,通常创建 服务器发布规则时,允许“所有地址”来管理,如果你的系统有漏洞,则别人也有可能通过终端服务登录你的计算机,所以,可以限制来源地址,你可以允许 某个计算机集的 IP地址登录你的终端服务器,这些 计算机集的IP可以是:
你的单位的IP地址(外网)
你家ADSL上网的当前地址的16或24位掩码,例如,我当前地址是124.238.33.5,则可以添加子网124.238.33.0/24或124.238.0.0/16
其他你能使用的固定外网IP地址
并且在发布终端服务器的时候,修改终端服务器在防火墙上的监听端口
3、如果多个虚拟机中有多个FTP服务,参考我写的另一篇文章发布FTP
4、在主机上,不要安装IIS等其他无关服务,最好不要在主机上安装FTP等软件。设置策略,不允许主机上网,或者只允许访问指定的某几个网站。
【说明】:全文是《VMware虚拟机应用宝典》第7章内容,因为有好多图,没有贴上,主要意思是这些。
附,VMware虚拟机应用链接页
本文出自 “王春海的博客” 博客,请务必保留此出处http://wangchunhai.blog.51cto.com/225186/42959 本文出自 51CTO.COM技术博客 |
王春海
博客统计信息
热门文章
最新评论
友情链接