因为业务发展的需求,许多单位都进行了“主机托管”业务,即购买一台服务器放到当地电信、网通的机房,使用这种业务时,托管服务器可以实现不间断、高速接入Internet的需求,并且可以获取一个固定的IP地址,用于开展互联网业务或者其他业务。但这时普遍出现两个问题:
(1)因为托管单位如电信、网通并不为托管服务器提供防火墙服务(或提供有限的服务),如果在托管的服务器前面安装硬件防火墙,除了成本高外,也不现实(进行服务器托管时是按照托管服务器占用的空间收费的,通常只提供服务器的接入,没有再在服务器前安装一个硬件防火墙的),这时,为了提高托管服务器的安全性,只能安装“软件”防火墙。但安装防火墙之后、怎样发布这些服务呢(如WWW、FTP、SQL Server等)?
(2)如果单位开展的业务是多种多样的,例如,有的需要安装SQL Server,有的需要安装PHP,可能还有一些特殊的需求。但这些服务是不能“共存”于同一个系统上的,就是说,用一台服务器满足不了需求。如果托管多台服务器,则会造成成本和维护费用的上涨,单位是不能接受的。
本章将ISA Server 2004与VMware Server有机结合解决了这些问题,解决方案如下:
(1)在主机系统上安装ISA Server 2006标准版,用来解决安全和服务器的发布问题。
(2)在主机系统上安装VMware Server,在VMware Server上安装虚拟机解决服务器数量不够的问题。
【说明】虽然现在
Microsoft
已经推出了
ISA Server 2006
,但在托管服务器等与本案例相似的环境中,还是使用
ISA Server 2004
为宜,在这种情况下使用ISA Server 2006,会有一些问题
。
因为需要安装
ISA Server 2004
和安装
VMware Server
并运行虚拟机,对服务器的配置要求如下。
(
1
)
CPU
:
Intel P4
至强
3.0
以上,推荐双
CPU
,或者使用
Intel
酷瑞
2
双核
CPU
。
(
2
)内存:双通道
DDR
,至少
2GB
,推荐
3GB
或以上。
(
3
)硬盘:
10000
转
SCSI
硬盘,至少
3
块硬盘(推荐
4
块以上),
73GB
(或
146GB
)。使用
RAID5
,另外需要多买一块硬盘备用(当
RAID
中的硬盘有故障时立刻更换,而不是关机之后再购买硬盘,这是许多人所不注重的)。推荐使用双通道
320MB/s
的
RAID
卡。
(
4
)外形:服务器使用
2U
机架式。
(
5
)主机操作系统:推荐使用
Windows Server 2003
。
在本文中,用一台主机形成下面的网络环境,如图
7-22
所示。
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /><?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
图7-22 使用VMware Server组成的应用环境
在图
7-22
中,主机系统安装
Windows Server 2003
、
ISA Server 2004
标准版、
VMware Server 1.01
,在
VMware Server
上实现
3
台虚拟机。其中
Windows Server 2003
的地址为
202.206.198.195
,所有虚拟机使用
VMnet1
虚拟交换机,其网段为
192.168.10.0/24
,这
3
台虚拟机的具体参数如表
7-1
所示。
表7-1 虚拟机具体参数
描述
|
计算机名
|
IP
地址
|
说明
|
网关、
DNS
|
第
1
台虚拟机
|
VM1
|
192.168.10.10
|
邮件服务器
|
网关:
192.168.10.1
DNS
:与主机
DNS
相同
|
第
2
台虚拟机
|
VM2
|
192.168.10.20
|
SQL Server
服务器
| |
第
3
台虚拟机
|
VM3
|
192.168.10.30
|
WWW
、
FTP
服务器
|
另外,在本例中,网站、邮件系统等服务使用
heuet
.org
相关的域名对外发布。这需要在
heuet
.com
的
DNS
服务器中,设置所有域名(
A
记录为
*
)指向
202.206.198.195
,同时设置
MX
记录指向
202.206.198.195
,这些不做过多介绍
。
主要步骤如下:
(
1
)准备好主机硬件,在主机硬件上安装
Windows Server 2003
或
Windows Server 2003 R2
企业版,并设置好
IP
地址(托管时的
IP
地址)。
(
2
)进入域名管理系统,修改
DNS
域名解析地址为托管主机
IP
地址。
(
3
)在主机上安装
VMware Server
,并在
VMware Server
中创建虚拟机并安装操作系统。
(
4
)在主机上安装
ISA Server 2004
,并创建防火墙策略。
这样,把VM1、VM2、VM3当作ISA Server的内网计算机发布出去就可以了,这些可以参考ISA Server的资料。
在发布的时候,建议:
1、不要创建“允许”“内网”访问“外网”的规则,这样 VM1等虚拟机将不能访问外网,这可以提高安全性。如果VM1等虚拟机需要访问某个网站,例如Microsoft的update站点,为VM等虚拟机单独创建规则即可,即创建
“允许” (来源)VM1 访问 (目的) Microsoft网站。
2、如果要使用终端服务远程管理主机及虚拟机,通常创建 服务器发布规则时,允许“所有地址”来管理,如果你的系统有漏洞,则别人也有可能通过终端服务登录你的计算机,所以,可以限制来源地址,你可以允许 某个计算机集的 IP地址登录你的终端服务器,这些 计算机集的IP可以是:
你的单位的IP地址(外网)
你家ADSL上网的当前地址的16或24位掩码,例如,我当前地址是124.238.33.5,则可以添加子网124.238.33.0/24或124.238.0.0/16
其他你能使用的固定外网IP地址
并且在发布终端服务器的时候,修改终端服务器在防火墙上的监听端口
3、如果多个虚拟机中有多个FTP服务,参考我写的另一篇文章发布FTP
4、在主机上,不要安装IIS等其他无关服务,最好不要在主机上安装FTP等软件。设置策略,不允许主机上网,或者只允许访问指定的某几个网站。
【说明】:全文是《VMware虚拟机应用宝典》第7章内容,因为有好多图,没有贴上,主要意思是这些。
附,VMware虚拟机应用链接页