1
Hyper-V - privat Switch zur Serververbindung sinnvoll? Und was sollte man beachten?
Hallo,
wir haben auf einem Server (Host) mehrere virtuelle Maschienen laufen.
Der Host hat mehrere virtuelle Switche.
Davon ist einer als "Privates Netzwerk" angelegt.
An diesen Switch sind mehrere VMs verbunden. Unteranderem ein Terminalserver, ein FileServer und ein Datenbank-Server, der vom TS aus genutzt wird.
Jede dieser VMs ist jeweils mit zwei V-Switchen verbunden:
V-Switch 1: Externes Netzwerk - unser normales Netzwerk mit der normalen IP-Adresse
V-Switch 2: Privates Netzwerk - offenbar angelegt für die Kommunikation der daran angeschlossenen VMs untereinander. Die IP-Adressen sind auch komplett anders, als im normalen Netz.
Auf den VMs wird die Verbindung vom V-Switch 2 als "Nicht identifiziertes Netzwerk" / "Kein Internet" angezeigt.
Kein Internet ist klar, da die Verbindung nicht nach außen geht.
"Nicht identifiziertes Netzwerk" erkläre ich mir so, dass es daran liegt, dass es keinen DNS dort gibt. Traffic geht aber trotzdem über den Ethernet-Adapter.
Für mich stellt sich die Frage, ist dieser zusätzliche Interne-V-Switch sinnvoll und was sollte man bei Einrichtung / beim Betrieb beachten?
Vielen Dank für eure Antworten.
Gruß aus dem hohen Norden
wir haben auf einem Server (Host) mehrere virtuelle Maschienen laufen.
Der Host hat mehrere virtuelle Switche.
Davon ist einer als "Privates Netzwerk" angelegt.
An diesen Switch sind mehrere VMs verbunden. Unteranderem ein Terminalserver, ein FileServer und ein Datenbank-Server, der vom TS aus genutzt wird.
Jede dieser VMs ist jeweils mit zwei V-Switchen verbunden:
V-Switch 1: Externes Netzwerk - unser normales Netzwerk mit der normalen IP-Adresse
V-Switch 2: Privates Netzwerk - offenbar angelegt für die Kommunikation der daran angeschlossenen VMs untereinander. Die IP-Adressen sind auch komplett anders, als im normalen Netz.
Auf den VMs wird die Verbindung vom V-Switch 2 als "Nicht identifiziertes Netzwerk" / "Kein Internet" angezeigt.
Kein Internet ist klar, da die Verbindung nicht nach außen geht.
"Nicht identifiziertes Netzwerk" erkläre ich mir so, dass es daran liegt, dass es keinen DNS dort gibt. Traffic geht aber trotzdem über den Ethernet-Adapter.
Für mich stellt sich die Frage, ist dieser zusätzliche Interne-V-Switch sinnvoll und was sollte man bei Einrichtung / beim Betrieb beachten?
Vielen Dank für eure Antworten.
Gruß aus dem hohen Norden
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671198
Url: https://administrator.de/forum/hyper-v-privat-switch-zur-serververbindung-sinnvoll-und-was-sollte-man-beachten-671198.html
Ausgedruckt am: 07.02.2025 um 11:02 Uhr
1 Kommentar
Ich würde sagen etwas unkonventionell, aber nicht direkt falsch.
Du kannst so eine VM oder einen Dienst, z.B. deinen Datenbankserver, gegenüber dem "öffentlichen" Netzwerk nicht exponieren sondern nur Verbindungen vom Anwendungsserver oder vom Terminal Server zulassen. Dann darf der Datenbankserver aber nicht selbst auch noch im öffentlichen Netz hängen oder zumindest müssten andere Policys greifen, z.B. die Dienste dürfen dann nicht antworten - sonst ist es auch Sicherheitsgründen komplett sinnfrei.
Deine Kommunikation im "privaten" Netz der VMs wird dadurch nicht "abhörsicher", da sowieso sämtlicher Traffic im Hypervisor verbleibt. Wenn es also eine Sicherheitslücke im Hypervisor gibt, wären alle Netze in gleicher Weise betroffen, ansonsten ist es egal über welchen vSwitch der Traffic zum Ziel kommt. Wenn du allerdings einen zweiten Hypervisor einbindest und dem physischen Switch am öffentlichen vSwitch nicht traust wäre auch das unter Umständen noch sinnvoll.
I.d.R. bildet man sowas über VLANs ab und routet nur den Traffic, den man zulassen will. Zumal der physische Switch meist auch zugangsbeschränkt und vertrauenswürdig ist. Ein dediziertes Netz zwischen Servern kann dann sinnvoll sein wenn a) deine Hardware (Switch / Router) das nicht kann (z.B. Layer-2 Switch, Fritzbox) oder b) das nicht performant genug ist weil z.B. die Datensicherung dann geroutet werden müsste.
Du kannst so eine VM oder einen Dienst, z.B. deinen Datenbankserver, gegenüber dem "öffentlichen" Netzwerk nicht exponieren sondern nur Verbindungen vom Anwendungsserver oder vom Terminal Server zulassen. Dann darf der Datenbankserver aber nicht selbst auch noch im öffentlichen Netz hängen oder zumindest müssten andere Policys greifen, z.B. die Dienste dürfen dann nicht antworten - sonst ist es auch Sicherheitsgründen komplett sinnfrei.
Deine Kommunikation im "privaten" Netz der VMs wird dadurch nicht "abhörsicher", da sowieso sämtlicher Traffic im Hypervisor verbleibt. Wenn es also eine Sicherheitslücke im Hypervisor gibt, wären alle Netze in gleicher Weise betroffen, ansonsten ist es egal über welchen vSwitch der Traffic zum Ziel kommt. Wenn du allerdings einen zweiten Hypervisor einbindest und dem physischen Switch am öffentlichen vSwitch nicht traust wäre auch das unter Umständen noch sinnvoll.
I.d.R. bildet man sowas über VLANs ab und routet nur den Traffic, den man zulassen will. Zumal der physische Switch meist auch zugangsbeschränkt und vertrauenswürdig ist. Ein dediziertes Netz zwischen Servern kann dann sinnvoll sein wenn a) deine Hardware (Switch / Router) das nicht kann (z.B. Layer-2 Switch, Fritzbox) oder b) das nicht performant genug ist weil z.B. die Datensicherung dann geroutet werden müsste.
