ISA Server、虚拟机、托管服务器的使用

因为业务发展的需求，许多单位都进行了“主机托管”业务，即购买一台服务器放到当地电信、网通的机房，使用这种业务时，托管服务器可以实现不间断、高速接入Internet的需求，并且可以获取一个固定的IP地址，用于开展互联网业务或者其他业务。但这时普遍出现两个问题：

（1）因为托管单位如电信、网通并不为托管服务器提供防火墙服务（或提供有限的服务），如果在托管的服务器前面安装硬件防火墙，除了成本高外，也不现实（进行服务器托管时是按照托管服务器占用的空间收费的，通常只提供服务器的接入，没有再在服务器前安装一个硬件防火墙的），这时，为了提高托管服务器的安全性，只能安装“软件”防火墙。但安装防火墙之后、怎样发布这些服务呢（如WWW、FTP、SQL Server等）？

（2）如果单位开展的业务是多种多样的，例如，有的需要安装SQL Server，有的需要安装PHP，可能还有一些特殊的需求。但这些服务是不能“共存”于同一个系统上的，就是说，用一台服务器满足不了需求。如果托管多台服务器，则会造成成本和维护费用的上涨，单位是不能接受的。

本章将ISA Server 2004与VMware Server有机结合解决了这些问题，解决方案如下：

（1）在主机系统上安装ISA Server 2006标准版，用来解决安全和服务器的发布问题。

（2）在主机系统上安装VMware Server，在VMware Server上安装虚拟机解决服务器数量不够的问题。

【说明】虽然现在 Microsoft 已经推出了 ISA Server 2006 ，但在托管服务器等与本案例相似的环境中，还是使用 ISA Server 2004 为宜，在这种情况下使用ISA Server 2006，会有一些问题 。

因为需要安装 ISA Server 2004 和安装 VMware Server 并运行虚拟机，对服务器的配置要求如下。

（ 1 ） CPU ： Intel P4 至强 3.0 以上，推荐双 CPU ，或者使用 Intel 酷瑞 2 双核 CPU 。

（ 2 ）内存：双通道 DDR ，至少 2GB ，推荐 3GB 或以上。

（ 3 ）硬盘： 10000 转 SCSI 硬盘，至少 3 块硬盘（推荐 4 块以上）， 73GB （或 146GB ）。使用 RAID5 ，另外需要多买一块硬盘备用（当 RAID 中的硬盘有故障时立刻更换，而不是关机之后再购买硬盘，这是许多人所不注重的）。推荐使用双通道 320MB/s 的 RAID 卡。

（ 4 ）外形：服务器使用 2U 机架式。

（ 5 ）主机操作系统：推荐使用 Windows Server 2003 。

在本文中，用一台主机形成下面的网络环境，如图 7-22 所示。

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /><?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

图7-22  使用VMware Server组成的应用环境

在图 7-22 中，主机系统安装 Windows Server 2003 、 ISA Server 2004 标准版、 VMware Server 1.01 ，在 VMware Server 上实现 3 台虚拟机。其中 Windows Server 2003 的地址为 202.206.198.195 ，所有虚拟机使用 VMnet1 虚拟交换机，其网段为 192.168.10.0/24 ，这 3 台虚拟机的具体参数如表 7-1 所示。

表7-1  虚拟机具体参数

描述	计算机名	IP 地址	说明	网关、 DNS
第 1 台虚拟机	VM1	192.168.10.10	邮件服务器	网关： 192.168.10.1 DNS ：与主机 DNS 相同
第 2 台虚拟机	VM2	192.168.10.20	SQL Server 服务器
第 3 台虚拟机	VM3	192.168.10.30	WWW 、 FTP 服务器

另外，在本例中，网站、邮件系统等服务使用 heuet .org 相关的域名对外发布。这需要在 heuet .com 的 DNS 服务器中，设置所有域名（ A 记录为 * ）指向 202.206.198.195 ，同时设置 MX 记录指向 202.206.198.195 ，这些不做过多介绍 。

主要步骤如下：

（ 1 ）准备好主机硬件，在主机硬件上安装 Windows Server 2003 或 Windows Server 2003 R2 企业版，并设置好 IP 地址（托管时的 IP 地址）。

（ 2 ）进入域名管理系统，修改 DNS 域名解析地址为托管主机 IP 地址。

（ 3 ）在主机上安装 VMware Server ，并在 VMware Server 中创建虚拟机并安装操作系统。

（ 4 ）在主机上安装 ISA Server 2004 ，并创建防火墙策略。

这样，把VM1、VM2、VM3当作ISA Server的内网计算机发布出去就可以了，这些可以参考ISA Server的资料。

 

在发布的时候，建议：

1、不要创建“允许”“内网”访问“外网”的规则，这样 VM1等虚拟机将不能访问外网，这可以提高安全性。如果VM1等虚拟机需要访问某个网站，例如Microsoft的update站点，为VM等虚拟机单独创建规则即可，即创建

“允许” (来源)VM1 访问 (目的) Microsoft网站。

2、如果要使用终端服务远程管理主机及虚拟机，通常创建 服务器发布规则时，允许“所有地址”来管理，如果你的系统有漏洞，则别人也有可能通过终端服务登录你的计算机，所以，可以限制来源地址，你可以允许 某个计算机集的 IP地址登录你的终端服务器，这些 计算机集的IP可以是：

你的单位的IP地址(外网)

你家ADSL上网的当前地址的16或24位掩码，例如，我当前地址是124.238.33.5，则可以添加子网124.238.33.0/24或124.238.0.0/16

其他你能使用的固定外网IP地址

并且在发布终端服务器的时候，修改终端服务器在防火墙上的监听端口

3、如果多个虚拟机中有多个FTP服务，参考我写的另一篇文章发布FTP

[url]http://wangchunhai.blog.51cto.com/225186/42175[/url]

 

4、在主机上，不要安装IIS等其他无关服务，最好不要在主机上安装FTP等软件。设置策略，不允许主机上网，或者只允许访问指定的某几个网站。

 

【说明】：全文是《VMware虚拟机应用宝典》第7章内容，因为有好多图，没有贴上，主要意思是这些。

附，VMware虚拟机应用链接页

[url]http://www.amazon.cn/detail/product.asp?prodid=bkbk742725&source=linnan[/url]