10 votes

Disco Mike avatar

Doit-on autoriser l'hôte de virtualisation à exécuter n'importe quel service?

Demandé el 13 de Octobre, 2012
Quand la question a-t-elle été
334 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai récemment mis en place un serveur de virtualisation pour la petite entreprise que je gère. Ce serveur exécute quelques machines virtuelles utilisées pour le développement, les tests, etc...

Mon associé travaille à distance, j'ai donc également installé un serveur VPN sur l'hôte de virtualisation pour lui permettre d'accéder en toute sécurité aux services de l'entreprise. De plus, toujours sur l'hôte de virtualisation, j'ai installé Bacula pour effectuer la sauvegarde des données.

Est-il conseillé ou pratique de le faire, ou devrais-je créer une autre machine virtuelle pour les sauvegardes et le VPN? Est-ce une mauvaise idée de faire tourner ces services sur l'hôte lui-même? Si oui, pourquoi?

Demandé el 13 de Octobre, 2012 par Disco Mike

Réponses

Trop de publicités?

9voto

Nils avatar
Nils Points 7622

Le serveur de virtualisation doit être la machine la plus sécurisée que vous possédez. La machine la plus sécurisée est une machine qui n'est pas du tout connectée à un réseau ;-)

Avec cela à l'esprit, il est préférable de ne pas offrir de services sur vos interfaces publiques. Vous ne devriez même pas avoir d'adresse IP (un pont pour les machines virtuelles est de niveau 2).

Pensez au serveur de machine virtuelle comme une DMZ : le trafic entrant est interdit, l'origine n'est pas un problème.

Donc dans votre exemple :

  • VNC : Mauvais - il s'agit d'un service entrant
  • Backup : Pas de problème - les sessions sont lancées à partir d'ici vers l'extérieur

Mais même alors - vous ne devriez exécuter que des services qui ne consommeront pas de RAM/CPU/IO sur votre serveur de machine virtuelle - sinon vos machines virtuelles seront affectées par le manque de ressources.

Répondu el 13 de Octobre, 2012 par Nils (7622 Points )

5voto

ewwhite avatar
ewwhite Points 193555

Je suggérerais de séparer les fonctions VPN d'un pare-feu basé sur du matériel ou d'un appareil séparé... Par exemple, que se passe-t-il si le serveur est hors service ?

Mais à défaut de cela, il est possible d'utiliser votre hôte de virtualisation existant comme terminaison pour votre VPN. Les sauvegardes ne devraient pas poser de problème non plus.

Cela ressemble à une petite mise en place (quel type de matériel utilisez-vous ?), mais si vous posez la question, peut-être avez-vous quelques réserves ? Pourquoi vous pensez que cela pourrait ne pas être une bonne idée ?

Répondu el 13 de Octobre, 2012 par ewwhite (193555 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X