[Advies] Veilige netwerktoegang virtuele machines in DC

Hi!

Het uiteindelijke doel is om:
- Een groep gebruikers toegang te geven tot
-- meerdere virtuele machines
--- die in een publiek DC hangen
--- die bij voorkeur enigszins te configureren zijn door de gebruikers zelf (bv. maken snapshop of reboot)
--- die mogelijk geïnfecteerd worden met virussen

Ik heb in eerste instantie geen voorkeur voor hypervisor (zolang hij maar gratis is). Het maakt dus niet uit of de oplossing wordt gevormd met Hyper-V of VMware vSphere bijvoorbeeld.

Daar de server in een publiek DC hangt is security wel een puntje. De individuele virtuele machines zullen situaties kennen waarbij de firewall uitgeschakeld wordt, moet ook dit in gedachten worden genomen.

Er is de beschikking over IPv6. Alle virtuele machines zouden dus een uniek adres kunnen krijgen, maar ik weet niet of dit de voorkeur heeft (ivm attack surface en mogelijk beperkte beveiliging).
Er is de beschikking over 2 IPv4-adressen (i.v.m. remote access mogelijkheden op de server)

Iemand in mijn omgeving riep enthousiast Direct Access. DA is een mooi product, maar heeft meerdere nadelen: alle cliënts moeten minimaal voorzien zijn van Windows 7, en opgenomen zijn in de DA van het te bereiken netwerken. Beide zaken zijn niet het geval (cliënts variëren van XP - 7 en zijn privé pc's en geen domein members).

Een andere optie is om een W2K8 server te combineren met RAS. Men maakt via VPN verbinding met deze server, en de individuele virtuele machines zijn vanuit daar te bereiken.

Je ziet dat ik wat in de Microsoft hoek stuur. Wanneer ik bv. VMware zou installeren, dan moet ik nog een andere machine gebruiken om de remote access op zich te nemen. Dit lijkt me extra load met zich mee te brengen vergeleken met een alles-in-1. Is echter geen vereiste: ik sta open voor meerdere opties. Een andere optie is bv. om middels een vSphere client te connecteren naar de VMWare server.

Wat is handig om te doen, in het achterhoofd houdende dat de virtuele cliënts mogelijk virussen bevatten / geen firewall draaien, en dus enigszins afgeschermd hun werk moeten kunnen doen. Allemaal middels IPv6 nettoegang klinkt leuk, maar is wellicht niet handig.

Overigens moet het bij voorkeur niet mogelijk zijn voor cliënts die naar de virtuele omgeving verbinden, om elkaar te bereiken in deze omgeving. Een eerdere oplossing uitgevoerd middels Hamachi veroorzaakte dit wel.

[ Voor 3% gewijzigd door Eagle Creek op 08-08-2011 21:23 ]

Bedankt voor jullie reacties!

Ik hoop altijd in mijn startpost voldoende informatie te verschaffen, maar gaandeweg komen er vaak nog vragen naar boven. Prima!

De bedoeling is dat de gebruikers op de virtuele machines programma's kunnen gaan uittesten. Ook kunnen ze gebruikt worden om te spelen met virussen. Zij mogen weten dat ze op een virtuele machine werken.

Het zou een pré zijn wanneer zij in staat zijn om vanuit de hypervisor zelf de machines kunnen herstarten (bv bij een crash), en bv. snapshots kunnen maken en terugzetten. Dit kan zowel met Hyper-V als vSphere. Dit is echter geen vereiste, maar wel te realiseren met zowel VM als MS.

Voor zover ik weet is vSphere gratis, maar dit is snel uit te vinden. Ik weet dat VMware een gratis product aanbiedt. Anderzijds is Hyper-V server core ook gratis, en heb ik een licentie voor een enterprise liggen dus dat is geen bezwaar.

btw: Is het de bedoeling dat ieder user alle VM's ziet of wil een een systeem met rechten zodat niet alle users alle VM's zien?

In principe mogen ze alle machines zien. Als ik het onder kan verdelen is het een pré, maar geen eis. (ik kan bv af met het hernoemen van één machine naar “afblijven!”, bij wijze van spreken).

Om even in te haken op het RRAS verhaal, je kan naar mijn mening dan beter monowall of pFsense gebruiken, dat is lichter dan een windows server, heeft meer mogelijkheden en werkt (naar mijn mening) een stuk makkelijker.

Ik heb de beschikking over één fysieke machine. Ik kan dus geen extra machines bijplaatsen. Wanneer ik een 2008-machine gebruik voor zowel Hyper-V als RAS, dan zou ik dit mooi kunnen koppelen. Is wederom geen eis, slechts een suggestie.

Een optie zou bv. kunnen zijn om met vSphere een virtuele PFsense op te zetten, en vanuit daar verder te connecteren. Heb ik geen ervaring mee, ben ik bereid te leren, is dus een optie.

Alleen de hypervisor ESXi wordt gratis aangeboden - maar dan zonder alle interessante management tools zoals self-provisioning dashboards die jij nu juist wil gebruiken

Voor zover ik weet is de vSphere client gratis, en kunnen zij daarmee de machine beheren.

Zelfde geldt voor Microsoft's Hyper-V: je kan een gratis variant van de Hypervisor genaamd Hyper-V Server 2008 (R2) krijgen, maar dan heb je zelf nog wel wat scriptwerk te doen als je het ding ook managed wil aanbieden.

Dat hoeft niet. Je kunt middels een managementmachine de VM's beheren.
En een beetje scripting met cmd of ps is ook niet een probleem.

+ je vergeet voor het gemak dat je nog steeds een Hosting license voor je clients zal moeten afnemen

Dat is helemaal waar, maar dat is geen probleem. Tevens zal een deel v/d machines linux based zijn, en daar heb je sowieso geen licenties.

Je bent wel altijd scherp in je antwoorden (gericht op praktijksituaties) en dat waardeer ik.

En aangezien jij ook nog eens meerdere Server Roles wil gebruiken valt die sowieso al af.

Wieso?

Dat je gebruikers ook software testen suggereert dat die VMs gewoon een netwerkverbinding gaan krijgen. Ik zou die functies op z'n minst scheiden zodat je die virussen kan testen op vms zonder netwerkkaart.

Primair is het geen virustesting. Dat kan incidenteel gebeuren. Ik snap wel wat je bedoelt, en neem dit zeker in overweging .

Wie zegt dat die VM's een netwerkverbinding hoeven te krijgen? Je kunt ze ook benaderen via de beheeromgeving van de hypervisor en zo als afgeschermde speeltuin te gebruiken

Juist!

Zolang het niet om kritieke infrastructuur gaat kun je eventuele management-machines ook virtueel draaien.

Juist.

Maar aan de TS zou ik aanbevelen om zijn wensen eens rustig op een rijtje te zetten, misschien beter niet in verhalende vorm maar in de vorm van een lijstje met bullets

Kan, maar er liggen niet zulke harde eisen. De meeste zaken zijn voorkeur en pré. Primair liggen er de eisen zoals gesteld in de startpost: VM's in een DC die veilig te bereiken zijn.

Want eerlijk gezegd vind ik je topicstart over virussen, virtualisatie, IPv4 en IPv6, firewalls en een datacenter niet veel meer dan een opsomming van allerlei dingetjes die jij in je hoofd hebt

Correct. Is dat een bezwaar dan?

En het lijkt er haast even op dat je verwacht dat hier iemand de naam van het product gaat noemen.

Nee, ik vraag alleen om suggesties. Jullie mening is belangrijk voor me, daarmee ga ik zelf aan de slag. Het is geen -dump-and-wait-for-answer-topic .

doe dan niet moeilijk en dump de hele shit gewoon

Wtf?

Ik heb dit topic geopend om ideeën op te doen van mede-tweakers (zoals de meeste posts van dit topic hierin mij prima voorzien). Niet om een kant en klare oplossing te krijgen.

Ik heb gelukkig nog de mogelijkheid om op mijn gemak te orienteren, zonder dat er harde eisen zijn. En dat doe ik dan ook .

Chill..

[ Voor 19% gewijzigd door Eagle Creek op 10-08-2011 15:32 ]

Het is voor intern gebruik. Hoewel het in een publiek DC hangt zullen er alleen developers op aan de slag gaan.

(Ik reageer later op Jazzy, zit nu op m'n werk )