Vernünftig angebunden: Hyper-V?
Hallo,
ich hätte gern mal eure Meinung zu folgendem Szenario gehört:
Es wird ein Hyper-V (Server 2012 R2) verwendet, auf dem mehrere VMs laufen. Eine der VMs ist eine Firewall (Sophos UTM9).
Der Hyper-V Server hat mindestens 3 physische Netzwerkkarten, von denen 2 für zwei unterschiedliche Internetanbindungen verwendet werden und dediziert der Sophos UTM9 VM zugewiesen sind.
Die dritte Netzwerkkarte ist für das interne LAN.
Derzeit nutzt der Hyper-V Server diese Netzwerkkarte selber ebenfalls um ans LAN angebunden zu sein. Geplant ist, dass der Hyper-V Server diese Netzwerkkarte nicht mehr nutzen darf (damit hat er gar keine physische Netzwerkkarte mehr für seinen "persönlichen" Gebrauch). Stattdessen soll er eine virtuelle Netzwerkkarte übers Hyper-V erhalten und darüber extra an die Firewall VM angebunden werden, wodurch er in einer Art DMZ stehen würde.
Ist soetwas sinnvoll?
Oder ist es absolut unbedenklich, wenn der Hyper-V die Netzwerkverbindung mit den Hosts shared?
Was könnte denn z.B. passieren, wenn die VMs die selbe Netzwerkkarte verwenden wie der Hyper-V Server?
MfG
wiseguy
ich hätte gern mal eure Meinung zu folgendem Szenario gehört:
Es wird ein Hyper-V (Server 2012 R2) verwendet, auf dem mehrere VMs laufen. Eine der VMs ist eine Firewall (Sophos UTM9).
Der Hyper-V Server hat mindestens 3 physische Netzwerkkarten, von denen 2 für zwei unterschiedliche Internetanbindungen verwendet werden und dediziert der Sophos UTM9 VM zugewiesen sind.
Die dritte Netzwerkkarte ist für das interne LAN.
Derzeit nutzt der Hyper-V Server diese Netzwerkkarte selber ebenfalls um ans LAN angebunden zu sein. Geplant ist, dass der Hyper-V Server diese Netzwerkkarte nicht mehr nutzen darf (damit hat er gar keine physische Netzwerkkarte mehr für seinen "persönlichen" Gebrauch). Stattdessen soll er eine virtuelle Netzwerkkarte übers Hyper-V erhalten und darüber extra an die Firewall VM angebunden werden, wodurch er in einer Art DMZ stehen würde.
Ist soetwas sinnvoll?
Oder ist es absolut unbedenklich, wenn der Hyper-V die Netzwerkverbindung mit den Hosts shared?
Was könnte denn z.B. passieren, wenn die VMs die selbe Netzwerkkarte verwenden wie der Hyper-V Server?
MfG
wiseguy
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 228636
Url: https://administrator.de/contentid/228636
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
3 Kommentare
Neuester Kommentar
Hallo wise,
da muss ich certifiedit recht geben! Die Firewall gehört vor deinen Hyper-V Server. Ob du diese als Rackmount oder als neuen eigenen Server (Linux oder Windows basis) installiert, bleibt dir überlassen. Die DMZ sollte, damit sie so funktioniert wie sie soll, entsprechend mit physischer Hardware ausgestattet werden.
Damit hätte sich die virtuelle NIC für den Server auch nahezu erledigt. Ich selbst habe schon IT-Lösungen rückgebaut die ähnlich von Kollegen installiert wurden. Dieses ins Knie schießen wird - aus Erfahrungswerten - eher früher kommen als später.
Grüße
Lenny Linux
da muss ich certifiedit recht geben! Die Firewall gehört vor deinen Hyper-V Server. Ob du diese als Rackmount oder als neuen eigenen Server (Linux oder Windows basis) installiert, bleibt dir überlassen. Die DMZ sollte, damit sie so funktioniert wie sie soll, entsprechend mit physischer Hardware ausgestattet werden.
Damit hätte sich die virtuelle NIC für den Server auch nahezu erledigt. Ich selbst habe schon IT-Lösungen rückgebaut die ähnlich von Kollegen installiert wurden. Dieses ins Knie schießen wird - aus Erfahrungswerten - eher früher kommen als später.
Grüße
Lenny Linux
Moin,
witzig... heute Morgen solch eine Konstellation bei einer übernommen Firma vorgefunden. Um so länger wir das Netzwerk dokumentierten um so wärmer wurde es uns.
Bitte die Firewall immer dediziert (Stück Blech) hinstellen und so konfigurieren. Sollte es hart kommen, kannst du hinlaufen und den Internetstecker einfach ziehen.
Wenn die Firewall nur den internen LAN-Verkehr via Regeln kontrolliert, kann man sowas auch als VM betreiben aber nicht in deinem Fall. Internet direkt am Hypervisior. Mir ist zwar kein Fall bekannt, dass jemand durch die VM an den Hypervisior durchgedrungen ist aber ausschließen kann man es auch nicht.
Daher immer das unerwartete erwarten...
Grüße,
Dani
witzig... heute Morgen solch eine Konstellation bei einer übernommen Firma vorgefunden. Um so länger wir das Netzwerk dokumentierten um so wärmer wurde es uns.
Bitte die Firewall immer dediziert (Stück Blech) hinstellen und so konfigurieren. Sollte es hart kommen, kannst du hinlaufen und den Internetstecker einfach ziehen.
Wenn die Firewall nur den internen LAN-Verkehr via Regeln kontrolliert, kann man sowas auch als VM betreiben aber nicht in deinem Fall. Internet direkt am Hypervisior. Mir ist zwar kein Fall bekannt, dass jemand durch die VM an den Hypervisior durchgedrungen ist aber ausschließen kann man es auch nicht.
Daher immer das unerwartete erwarten...
Grüße,
Dani