PCEVA,PC绝对领域,探寻真正的电脑知识
开启左侧

一个工作站虚拟化求助的网络拓扑

[复制链接]
overthink 发表于 2017-6-7 18:36 | 显示全部楼层 |阅读模式
点击数:2397|回复数:27
本帖最后由 overthink 于 2017-6-7 19:10 编辑

一个网友的求助见此帖:
http://bbs.pceva.com.cn/thread-139360-1-1.html

老板有两需求,所以要弄一工作站,具体要解决以下两个问题:
1.  有几个人需要用matlab做大量的运算,一跑一两天那种,普通电脑速度太慢。
2.  matlab这部分涉及到一些公司保密的东西,要保证员工无法拷走任何文件,所以打算每个人都分配给一个虚拟机来用。

今天下午@duo_luo 找我又简单谈了下ESXi方面的问题。 一时半会也说不太明白。画了个网络拓扑,应该可以满足需求。




文件服务器 Win Server 2016需要添加一个网卡来个ESXi服务器直连。
VM里那个虚拟交换机内无DHCP服务器,需要手动指定IP。

192.168.0.2~X 通过PC1、PC2、……连接到ESXi里的虚拟机进行操作。192.168.0.1~X是纯内网环境,PC1、PC2复制不了里面的文档,,应该不会产生资料泄露的问题。

大家有什么更好的解决方案,也可以回下帖,再给@duo_luo 参考一下。或者这个拓扑有啥不合理的地方,也可以指点下,看看如何修改。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
duo_luo 发表于 2017-6-7 18:52 | 显示全部楼层
非常感谢o版,大致看明白了,改明我实验下。

将来winserver2016这台实体server也要做到exsi里作为一个虚拟机的,这种情况下按照我的理解应该这么设置不知道对不对:  给虚拟的server 2016分配2个网卡, 指定192.168.0.1,一个HDCP外面实际的网络。 然后共享盘开个NFS read only 共享,挂载到 vm 里面去。
overthink  楼主| 发表于 2017-6-7 19:00 | 显示全部楼层
duo_luo 发表于 2017-6-7 18:52
非常感谢o版,大致看明白了,改明我实验下。

将来winserver2016这台实体server也要做到exsi里作为一个虚拟 ...

一个网卡连接到内网的虚拟交换机上,也就是192.168.0.X那个网段的虚拟交换机

另一个接到192.168.1.X那个网段的虚拟交换机上。
duo_luo 发表于 2017-6-7 19:25 | 显示全部楼层
overthink 发表于 2017-6-7 19:00
一个网卡连接到内网的虚拟交换机上,也就是192.168.0.X那个网段的虚拟交换机

另一个接到192.168.1.X那个 ...

明白了。 明天我实际测试下。
xudaiqing 发表于 2017-6-7 20:09 | 显示全部楼层
文件共享:使用IIS的目录浏览功能做只读共享,这样只需要对受控机只开放文件服务器的http端口即可,简单可靠。

防止通过远程访问拷贝文件:如果软件不需要管理员权限就可以运行,可以使用组策略【计算机配置-Windows组件-远程桌面服务-远程桌面会话主机-设备和资源重定向】中的策略进行限制。如果软件需要管理员权限,建议使用中间远程桌面的方式实现。相比ESXI访问的方式,这样的好处是可以重用现有的虚拟化平台,减少(或在未来减少)Windows许可证,并降低维护难度。

网络隔离:使用防火墙或虚拟防火墙实现网络资源限制。


防火墙可以使用现有的网关防火墙或者使用开源的虚拟防火墙(vyos/OPNsense/pfsense)
防火墙规则默认全部之间不能通信,然后建立以下规则
1.允许受保护网络和中间网络访问必需的网络服务(DNS/AD/WSUS等)。
2.允许受保护网络访问文件服务器HTTP服务端口。
如果使用网关防火墙或者网络之间可路由。
    如果有中间网络则:
        3.允许一般网络访问中间网络远程桌面服务(3389端口)
        4.允许中间网络访问受保护网络网络远程桌面服务(3389端口)
    如果没有中间网络:
        3.允许一般网络访问受保护网络网络远程桌面服务(3389端口)
如果选择独立防火墙且网络之间路由不可将允许网络访问换成端口映射就可以。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
Atom 发表于 2017-6-7 21:18 | 显示全部楼层
duo_luo 发表于 2017-6-7 19:25
明白了。 明天我实际测试下。

按照O版的这个拓扑设置,如果分配给虚拟机和物理机是同一个共享的话,那有可能会有资料从物理机泄露的风险。

必须虚拟机一个专门的共享目录,而且在物理机上访问不到才可以, 楼上的共享设置可以参考。
duo_luo 发表于 2017-6-8 10:21 | 显示全部楼层
xudaiqing 发表于 2017-6-7 20:09
文件共享:使用IIS的目录浏览功能做只读共享,这样只需要对受控机只开放文件服务器的http端口即可,简单可 ...

非常感谢提供方法!!!我们目前的网络结构非常的简单,网关---交换机---所有电脑(包括员工自己的电脑和exsi工作站,文件服务器也已迁移到exsi)。  网关在物业那边

第三方的这些防火墙是怎么去运作呢? 也是安装到exsi上吗? 他是依据什么去限制某台电脑的网络请求,MAC吗?



员工使用虚拟机目前暂定需要管理员权限。
如果第三方防火墙可以的话,那么就把需要限制的几台vm,只开放http共享端口或者NFS共享端口,能挂载readonly的nfs就行,员工自己的电脑去访问vm的话就用vmware remote control,这样子可以吗?   
duo_luo 发表于 2017-6-8 10:23 | 显示全部楼层
Atom 发表于 2017-6-7 21:18
按照O版的这个拓扑设置,如果分配给虚拟机和物理机是同一个共享的话,那有可能会有资料从物理机泄露的风 ...

嗯嗯,我自己瞎琢磨了一下貌似是。

首先是exsi应该是不能强制给vm分配ip地址,那么vm用户自己也可以去设置为192.168.1.x这样子,那么就可以访问外面了。

@overthink
duo_luo 发表于 2017-6-8 10:53 | 显示全部楼层
xudaiqing 发表于 2017-6-7 20:09
文件共享:使用IIS的目录浏览功能做只读共享,这样只需要对受控机只开放文件服务器的http端口即可,简单可 ...

刚才简单看了下OPNsense的一些教程,貌似他一般的用法是需要装到一台电脑上,电脑作为一台路由器,然后需要至少2块网卡,一个网卡接wan另一个接lan。

如果装到exsi上该怎么去设置呢?  目前不需要OPNsense把公司所有的电脑都管了,就管管exsi上的vm好了。

我再琢磨下。
kknd1928 发表于 2017-6-8 11:36 | 显示全部楼层
RDP, VNC无可避免会导致文件被复制走。走PCoIP的倒是可以?我所在公司用Horizon Client 的PCoIP协议 连接VDI只能向VDI 里面复制text,VM到主机就不行了。

锁定IP 地址要上GPO 上域控。

讨论了这么久,LZ的ESXi实验环境搭起来没?网络环境模拟起来了吗?
duo_luo 发表于 2017-6-8 11:47 | 显示全部楼层
kknd1928 发表于 2017-6-8 11:36
RDP, VNC无可避免会导致文件被复制走。走PCoIP的倒是可以?我所在公司用Horizon Client 的PCoIP协议 连接VD ...

ESXi是已经跑了几天了,文件服务器昨晚上也迁移过来了。  使用上倒是一切正常,目前就是这个vm保密的这个事情比较头疼。
使用vm自己的remote control也应该是复制不了的吧,默认剪切板是禁止的。
exsi可以锁定vm的ip地址,或者范围是吧? 我去看看。
duo_luo 发表于 2017-6-8 12:59 | 显示全部楼层
kknd1928 发表于 2017-6-8 11:36
RDP, VNC无可避免会导致文件被复制走。走PCoIP的倒是可以?我所在公司用Horizon Client 的PCoIP协议 连接VD ...

GPO貌似是组策略相关是吧。

目前还是打算vm管理员权限给用户的,vm系统本身的设置就不考虑了。
duo_luo 发表于 2017-6-8 17:39 | 显示全部楼层
自己瞎鼓捣了下,貌似目前是可以凑合用了。

首先是exsi里面弄了个pfsense的虚拟机,设置大致如下:




pfsense里面设置lan的ip地址为192.168.2.1,开启HDCP。
pfsense防火墙做如下设置:

192.168.1.7是文件服务器ip地址, 需要共享的目录做成了http的一个可浏览目录站点,端口81。

这样的话以后需要私密的vm,网络适配器就设置成pfSense-lan下,而不需要私密的vm,设置为VM Network。

这样不知道会不会有什么问题呢?  防火墙的设置正确吗?
@overthink @nighttob @eterfinity @xudaiqing

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
nighttob 发表于 2017-6-8 18:27 | 显示全部楼层
你这只是把目标192.168.1.7的TCP 81端口开了,其实没啥意义,一个LAN内的端口默认是能访问的
xudaiqing 发表于 2017-6-8 18:28 | 显示全部楼层
duo_luo 发表于 2017-6-8 17:39
自己瞎鼓捣了下,貌似目前是可以凑合用了。

首先是exsi里面弄了个pfsense的虚拟机,设置大致如下:

应该是可以用的。剩下就是确保esxi的权限给对就可以用。
还有pfsense的安全也需要做好(密码什么的)。有时间最好再开个虚拟网络做管理,然后把现在的LAN(192.168.2.1)上的管理访问禁了。https://doc.pfsense.org/index.ph ... anagement_interface

duo_luo 发表于 2017-6-8 18:45 | 显示全部楼层
本帖最后由 duo_luo 于 2017-6-8 18:48 编辑
xudaiqing 发表于 2017-6-8 18:28
应该是可以用的。剩下就是确保esxi的权限给对就可以用。
还有pfsense的安全也需要做好(密码什么的)。有 ...

嗯嗯,感谢!

目前还有2个问题:
1.  创建了一个用户以后,找不到哪里去改密码,不管是web登录还是用vsphere client登录。 web登录直接找不到,vsphere client登录进去编辑用户时候,密码那里是灰色不可编辑的。 esxi是6.0版本。
2.  新建的一个用户用web登录直接页面就弹异常的框出来了,跟用户的权限设置有关系,也不知道应该怎么设置。 用vsphere client登录是好的。但是用vsphere client登录又不知道怎么去调 remote control, 而web那里是有按钮直接可以打开remote control的.

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
xudaiqing 发表于 2017-6-8 18:57 | 显示全部楼层
duo_luo 发表于 2017-6-8 18:45
嗯嗯,感谢!

目前还有2个问题:

对这个我也不太清楚,但是web ui的权限管理几乎等于没有,我觉得改用支持C#客户端的ESXI 6.0比较现实。

overthink  楼主| 发表于 2017-6-8 20:26 | 显示全部楼层
Atom 发表于 2017-6-7 21:18
按照O版的这个拓扑设置,如果分配给虚拟机和物理机是同一个共享的话,那有可能会有资料从物理机泄露的风 ...

又看了下,确实有这个风险。  共享必须设置两个, 一个分配给虚拟机,一个分配给物理机。

这两个共享数据的交换只能在Server2016上操作。

@duo_luo

overthink  楼主| 发表于 2017-6-8 20:34 | 显示全部楼层
duo_luo 发表于 2017-6-8 10:23
嗯嗯,我自己瞎琢磨了一下貌似是。

首先是exsi应该是不能强制给vm分配ip地址,那么vm用户自己也可以去设 ...

这个拓扑理论上 192.168.0.X和192.168.1.X网段是不通的。即使VM手动指定了192.168.1.X的地址,也访问不到外网的。我图上vmnic5那个出口是直接连到Server2016 上192.168.0.1那个网口的。 而在Server2016上又没有NAT,数据跑不到192.168.1.X段的。你实验一下是否是这样。

Atom提出共享问题,这点我画拓扑时没想到。 现在想来,解决办法是用Server2016做两个共享, VM一个,物理机一个。 物理机只能访问物理机的共享,VM只能访问VM的共享。
duo_luo 发表于 2017-6-8 21:26 | 显示全部楼层
nighttob 发表于 2017-6-8 18:27
你这只是把目标192.168.1.7的TCP 81端口开了,其实没啥意义,一个LAN内的端口默认是能访问的 ...

pfsense防火墙lan设置里面本来是有任意协议任意ip地址和端口相互都可以访问的规则,我首先是把那些都删除掉了。
192.168.1.7 是在pfsense wan端那边虚拟交换机上的,那么我只允许访问这个ip的81端口。 按照我的理解这样应该是可以了吧。 有什么漏洞吗?
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部