XenServerでDNSサーバーを実行するのは悪い考えですか?
Xenserver 5.6を実行しているサーバーのクラスターがあり、WebメールとVoIPサービスをホストしています。私は現在、各Xenserverホストにchrootされたバインドサーバーをセットアップすることを検討しています(つまり、VM内にない実際のサーバー上に)
これは悪い考えですか?
原則として、Xen Dom0(ハードウェアおよびホスト上のすべての仮想マシンに完全にアクセスできる特権ドメイン)で最低限のサービス以外を実行しないことをお勧めします。
これは主にセキュリティ上の理由によるものです-経験則として、最大の価値をもたらすマシンでのみ重要なサービスを実行する必要があります-Dom0が危険にさらされると、すべてのDomU(ゲストVM)も効果的に危険にさらされます。攻撃者は各VMのコンソールにアクセスできます。
一部のネームサーバーを実行する必要があり、それらが公開されており、信頼できる場合は、仮想マシンとして実行することに問題はありませんが、完全に別々で実行するためにあらゆる努力を払う必要があります(常に少なくとも2つ必要です)。可用性を確保するためのネットワークセグメント。例えば:
ns1.redhat.com. 463 IN A 66.187.233.210
ns2.redhat.com. 463 IN A 209.132.183.2
ns3.redhat.com. 462 IN A 209.132.176.100