Hyper-V:サブネットからVMにパブリックIPを割り当てる
Windows Server 2008R2でHyper-Vサーバーを実行しています。各VMにパブリックIPアドレスを提供したいので、サブネットを注文しました。
私のデータセンタープロバイダー(ドイツのHetzner AG)は、それについて次のように書いています。
仮想化の問題
このタイプのIP /サブネット割り当てでは、「ブリッジ」セットアップを使用することはできません。このようなセットアップでは、複数のMACアドレスが表示されるためです。 VPS(linux仮想サーバー、Xen、vmwareなど)は、いわゆる「ルーテッド」セットアップ(VMware:「ホストオンリーネットワーキング」)を使用する必要があります。追加のサブネットを使用する場合、ホストシステムまたはdom0は、サブネットのIPアドレスで構成する必要があります。このIPアドレスは、VPSのゲートウォーとして使用されます。したがって、ホストシステムの(追加の)アドレスは、いずれの場合もゲートウェイとしてVPSで構成する必要があります。このルールの例外は「openvz」で、ゲートウェイは必要ありません。ホストシステムまたはdom0では、仮想化ごとに「ip_forward」をアクティブ化する必要があります。
さて、これは私にとって今どういう意味ですか、ハイパーVを構成するにはどうすればよいですか?
ご協力いただきありがとうございます!
彼らが言っているのは、セットアップにそれぞれ独自のVMを持つ複数の異なるクライアントがある場合、ブリッジモードでサブネットを使用すると、仮想上の他のクライアントのMACを「見る」ことができるということです。 NIC。これは少しセキュリティ上の問題です。理想的には、各クライアントを完全に分離して、あるクライアントが別のクライアントに「害」を及ぼすリスクがないようにする必要があります。の責任者。
あなたのホスティング施設の人は、あなたがやりたいことをすると、あなたは自分自身をトラブルに巻き込む危険があるかもしれないとあなたに単に思い出させています。
Hyper-V(またはVMWare)でパブリックIPを使用してホストオンリーネットワークを実行できるかどうかはわかりません。代わりに、これらすべてのIPをホストに割り当ててから、各IPのNATなど)に適切なルールを作成して、各クライアントのVMのプライベートネットワークを指すようにする必要があると思います。 。
さて、これが私たちが話している1つの組織のサーバーであり、セキュリティの観点から各サービスを分離する必要がない場合は、これを気にしないかもしれません。個人的には、まだそれらを分離しているので、侵害された場合、攻撃者はARPを見ただけでは新しいマシンを発見できません。
1つのMACアドレス:1のスイッチポートを持つという要件に対応するには、新しいサブネットとそのネットワークの間にルーターが必要になるということです。 Hyper-Vがこのオプションをネイティブに提供するかどうかはわかりませんが、ホストでRRASをセットアップするか、ハードウェアルーターを購入してホストとネットワークの間に配置することができます。
このコンテキストでは、Windows Server 2012でのセットアップ方法に関するこの説明が役立つ場合があります。 http://www.wiki.hetzner.de/index.php/Windows_Server_2012_Subnet/en (同じ提供最初の質問で言及されたプロバイダー)
これがWinServer 2008で機能するかどうかはわかりませんが、機能しない理由はわかりませんでした。