من به عنوان کسی که از روز ویندوز سرور 2008 با Microsoft Hyper-V همکاری می کند ، من میزبان های Hyper-V بیشتری را برایم ایجاد کرده است تا من فکر کنم. به همین ترتیب ، من می خواستم از این فرصت استفاده كنم تا در مورد برخی از بهترین شیوه هایی كه در این راه اتخاذ كرده ام صحبت كنم.
Server Core در مقابل Windows Desktop Experience
Shutterstock
یکی از شناخته شده ترین بهترین ها روش های میزبان Hyper-V اجرای یک پیکربندی Server Core در سیستم عامل میزبان است. در بیشتر موارد ، من با این بهترین تمرین خاص موافقم. از این گذشته ، منابع سخت افزاری که بطور معمول برای اجرای Windows Desktop Experience (GUI) مورد استفاده قرار می گیرند ، می توانند در عوض میزبانی ماشین های مجازی کار کنند. علاوه بر این ، استقرار سرور هسته دارای پایگاه کد کمتری نسبت به سرورهایی است که تجربه کامل Windows Desktop Experience را دارند و به همین دلیل از امنیت بیشتری برخوردار هستند.
یک موردی که من به این بهترین عملکرد خاص می زنم این است که اجرای یک پیکربندی سرور اصلی بهترین نیست. انتخاب برای هر سازمان. مغازه های کوچکتر با دو یا سه سرور Hyper-V و کارکنان IT بسیار محدود ممکن است دریابند که اجرای کامل Windows Desktop Experience کارها را برای آنها ساده می کند. به عنوان مثال ، در سازمان خودم ، من در حال حاضر سه هاپر Hyper-V دارم و تجربه Windows Desktop را روی همه آنها اجرا می کنم.
بخش های اختصاصی شبکه
بهترین کار دیگر این است که از بهم زدن همه ارتباطات شبکه فیزیکی با یکدیگر جلوگیری کنید. در یک آداپتور شبکه یا تیم آداپتور شبکه. انواع خاصی از ارتباطات باید هر وقت ممکن باشد در یک آداپتور شبکه اختصاصی جدا شوند. این به اطمینان از عملکرد مطلوب و به بهبود امنیت کمک می کند.
اولین نوع ترافیکی که من توصیه می کنم به یک بخش شبکه فیزیکی اختصاصی اختصاص داده باشم ، ترافیک مدیریت میزبان است. برای عادلانه بودن ، ترافیک مدیریت میزبان معمولاً درصد بسیار کمی از کل ترافیک شبکه سرور Hyper-V را به خود اختصاص می دهد. با این وجود ، من توصیه می کنم که به دلیل امنیت ، ترافیک مدیریت میزبان را جدا کنید. همیشه ایده خوبی است برای جلوگیری از مخلوط کردن ترافیک مدیریت و استفاده عمومی از ترافیک کاربر در هر زمان که بخواهید.
تقریباً بدون گفتن ادامه می یابد ، اما اگر میزبان Hyper-V شما از چیز دیگری غیر از ذخیره سازی مستقیم استفاده کند (مانند iSCSI ذخیره شده ضمیمه ) پس از آن بسیار مهم است که هم از نظر امنیتی و هم از منظر عملکرد برای هدایت ترافیک ذخیره سازی در یک بخش شبکه اختصاصی. به عنوان مثال ، در سازمان خودم ، سرورهای Hyper-V از طریق مجموعه ای از 10 لینک اترنت اختصاصی 10 گیگابایت به آرایه های ذخیره سازی خارجی متصل شده اند.
همچنین استفاده از بخش های شبکه فیزیکی اختصاصی برای ترافیک خوشه های ناپایدار ، ترافیک مهاجرت زنده ، مهم است. و ترافیک تکثیر VM. اگرچه مطمئناً ، Hyper-V مکانیسمی برای مسیریابی ترافیک تکثیر VM در یک بخش خاص (حداقل اگر شما در یک محیط خوشه ای کار نمی کنید) فراهم نمی کند ، اما بسته به پیکربندی سخت افزار شما ، راه های دوربندی برای مجبور کردن ترافیک تکرار وجود دارد. برای استفاده از یک لینک خاص صرف نظر از هدف آن ، ترافیک شبکه که از طریق هر یک از لینک های اختصاصی در جریان است ، باید به صورت ایده آل رمزگذاری شود.
جدایی نقش های اداری
در حالی که من در موضوع امنیت هستم ، من هم فکر می کنم چیزی برای گفتن وجود دارد. برای تفکیک نقشهای اداری. در سازمان های کوچک کاملاً طبیعی است و معمولاً لازم است زن و شوهر از مدیران دسترسی کامل به تمام منابع IT سازمان را داشته باشند. اگرچه در سازمانهای بزرگتر ، تفکیک مسئولیت های اداری ایده خوبی است. این امر باعث می شود هر یک از مدیران مجوز از اقتدار بیش از حد برخوردار نباشند.
یکی از بهترین راه های تحقق این کار ایجاد یک دامنه اختصاصی Active Directory (یا حتی یک جنگل اختصاصی Active Directory) است که فقط برای مدیریت Hyper- سازمان استفاده می شود. میزبان V نکته جالب در مورد این رویکرد این است که به شما امکان می دهد بین مدیران میزبان Hyper-V و مدیرانی که نظارت بر بار کار را روی ماشینهای مجازی نظارت می کنند ، تمایز قائل شوید.
حتی اگر من تنها سرپرست سازمان خودم هستم ، من یک اختصاصی جنگل Active Directory برای میزبان های Hyper-V من. دلیل اینکه من چنین کاری را انجام دادم هیچ ارتباطی با امنیت نداشت. در یک زمان ، من از سرورهای Hyper-V به طور قابل توجهی بیشتر از آنچه امروز کار می کنم ، داشتم. گروه بندی همه میزبان های Hyper-V در یک دامنه اختصاصی اکتیو دایرکتوریر ، امکان اجرای مدیریت فله بر روی آن سرورها را آسان تر می کند.
سیستم عامل میزبان
[19659008] وقتی صحبت از سیستم عامل میزبان سرورهای Hyper-V می شود ، من معتقدم بزرگ هستم که کارها را تا حد امکان ساده نگه دارم. تنظیمات ساده تمایل به مشکل کمتری دارند. دو اصل راهنمایی اصلی من برای پیکربندی سیستم عامل میزبان این است که آن را تا حد امکان ایمن جلوه دهم ، و از اجرای هرگونه برنامه یا خدمتی که کاملاً لازم نیست بپرهیزم.
مقالات بیشمار و راهنماهای بهترین رویه روی شما نوشته شده است. موضوع سخت شدن سیستم عامل ویندوز ، بنابراین من نمی خواهم وقت زیادی را صرف صحبت کردن در مورد سخت شدن سیستم کنید. با این حال ، آنچه که من می خواهم در مورد آن صحبت کنم ، همان چیزی است که من توصیه می کنم که روی یک سرور Hyper-V اجرا شود.
به طور معمول ، تنها نقشی که شما باید در هاستر V اجرا کنید ، نقش Hyper-V است. با این حال ، با این وجود ، می توان موردی برای اجرای نقش پرونده و سرویس های ذخیره سازی ایجاد کرد ، به ویژه اگر ماشین های مجازی در فضای مستقیم متصل ذخیره شوند.
همچنین باید از اجرای هرگونه برنامه شخص ثالث در هاست جلوگیری کنید. سیستم عامل ، با چند مورد استثناء. بسته به اینکه از ابزارهای پشتیبان و مدیریتی که در سازمان خود استفاده می کنید ، ممکن است اجرای یک نسخه پشتیبان یا یک عامل مدیریت در سیستم عامل میزبان گاهی لازم باشد. با این وجود ، تفاوت بزرگی بین اجرای یک عامل پشتیبان و داشتن سرور Hyper-V وظیفه مضاعف به عنوان سرور تهیه نسخه پشتیبان وجود دارد. افراد زیادی در آنجا حتی در مایکروسافت وجود دارند که توصیه می کنند نرم افزار ضد بدافزار را در سیستم عامل میزبان Hyper-V اجرا نکنید. دو دلیل اصلی برای این وجود دارد. اول ، اگر به درستی تنظیم نشده باشد ، نرم افزار آنتی ویروس می تواند به Hyper-V آسیب برساند. دوم ، با فرض اینکه سیستم عامل میزبان صرفاً به عنوان میزبان Hyper-V مورد استفاده قرار می گیرد ، هرگز نباید با بدافزارها در تماس باشد.
شخصاً ، من نرم افزارهای ضد بدافزار را روی سرورهای Hyper-V خود اجرا می کنم. با این حال ، من مجبور شدم تعدادی از موارد حذف اسکن را برای جلوگیری از آسیب رساندن نرم افزار به Hyper-V تنظیم کنم.
تصویر برجسته: Shutterstock
بازدید بازدید کنندگان:
1
بعدی را بخوانید
