nordlichtlein
Goto Top

Hyper-V - privat Switch zur Serververbindung sinnvoll? Und was sollte man beachten?

Hallo,

wir haben auf einem Server (Host) mehrere virtuelle Maschienen laufen.
Der Host hat mehrere virtuelle Switche.
Davon ist einer als "Privates Netzwerk" angelegt.
An diesen Switch sind mehrere VMs verbunden. Unteranderem ein Terminalserver, ein FileServer und ein Datenbank-Server, der vom TS aus genutzt wird.

Jede dieser VMs ist jeweils mit zwei V-Switchen verbunden:
V-Switch 1: Externes Netzwerk - unser normales Netzwerk mit der normalen IP-Adresse
V-Switch 2: Privates Netzwerk - offenbar angelegt für die Kommunikation der daran angeschlossenen VMs untereinander. Die IP-Adressen sind auch komplett anders, als im normalen Netz.

Auf den VMs wird die Verbindung vom V-Switch 2 als "Nicht identifiziertes Netzwerk" / "Kein Internet" angezeigt.
Kein Internet ist klar, da die Verbindung nicht nach außen geht.
"Nicht identifiziertes Netzwerk" erkläre ich mir so, dass es daran liegt, dass es keinen DNS dort gibt. Traffic geht aber trotzdem über den Ethernet-Adapter.

Für mich stellt sich die Frage, ist dieser zusätzliche Interne-V-Switch sinnvoll und was sollte man bei Einrichtung / beim Betrieb beachten?

Vielen Dank für eure Antworten.

Gruß aus dem hohen Norden

Content-ID: 671198

Url: https://administrator.de/forum/hyper-v-privat-switch-zur-serververbindung-sinnvoll-und-was-sollte-man-beachten-671198.html

Ausgedruckt am: 12.03.2025 um 10:03 Uhr

ukulele-7
Lösung ukulele-7 07.02.2025 aktualisiert um 11:39:26 Uhr
Goto Top
Ich würde sagen etwas unkonventionell, aber nicht direkt falsch.

Du kannst so eine VM oder einen Dienst, z.B. deinen Datenbankserver, gegenüber dem "öffentlichen" Netzwerk nicht exponieren sondern nur Verbindungen vom Anwendungsserver oder vom Terminal Server zulassen. Dann darf der Datenbankserver aber nicht selbst auch noch im öffentlichen Netz hängen oder zumindest müssten andere Policys greifen, z.B. die Dienste dürfen dann nicht antworten - sonst ist es auch Sicherheitsgründen komplett sinnfrei.

Deine Kommunikation im "privaten" Netz der VMs wird dadurch nicht "abhörsicher", da sowieso sämtlicher Traffic im Hypervisor verbleibt. Wenn es also eine Sicherheitslücke im Hypervisor gibt, wären alle Netze in gleicher Weise betroffen, ansonsten ist es egal über welchen vSwitch der Traffic zum Ziel kommt. Wenn du allerdings einen zweiten Hypervisor einbindest und dem physischen Switch am öffentlichen vSwitch nicht traust wäre auch das unter Umständen noch sinnvoll.

I.d.R. bildet man sowas über VLANs ab und routet nur den Traffic, den man zulassen will. Zumal der physische Switch meist auch zugangsbeschränkt und vertrauenswürdig ist. Ein dediziertes Netz zwischen Servern kann dann sinnvoll sein wenn a) deine Hardware (Switch / Router) das nicht kann (z.B. Layer-2 Switch, Fritzbox) oder b) das nicht performant genug ist weil z.B. die Datensicherung dann geroutet werden müsste.
Nordlichtlein
Nordlichtlein 10.02.2025 aktualisiert um 12:27:35 Uhr
Goto Top
Hallo,
danke für deine Info.

Ich glaube nicht, dass es um Sicherheit ging (da gibt es noch ganz andere Baustellen)
Daher habe ich beschlossen, dass es keinen Sinn macht, es so weiter zu betreiben. Den V-Switch mit den Adaptern werde ich mal rausnehmen. Macht das Ganze auch übersichtlicher: ^^

LG

Edit:
Gesagt, getan. Auswirkungen gleich Null. face-smile Beim Ablauf sollte ich mir angewöhnen, erst den Adapter in der VM zu deaktivieren, dann auf dem Host die Einstellungen für die VM bearbeiten und dort die V-Netzwerkkarte entferenen. Als letztes auf dem Host in den Einstellungen für V-Switche den V-Switch entfernen.
Uuuuund schon wieder was gelernt.
ukulele-7
ukulele-7 10.02.2025 um 12:48:49 Uhr
Goto Top
Wenn keine weiteren Anpassungen nötig waren dann gab es wohl keinen Sicherheitsaspekt. Performance vermutlich auch nicht, hört sich an als ob alles über die selbe physische Anbindung oder serverintern abläuft. Da hat wohl Jemand eher nicht zu Ende gedacht.