Главная > ISA Server > Практический пример миграции на ISA Server 2006 в виртуальной среде под управлением Windows Server 2008 Hyper-V

Практический пример миграции на ISA Server 2006 в виртуальной среде под управлением Windows Server 2008 Hyper-V

28 июня 2009 Артём Синицын Написать комментарий К комментариям

Практический пример миграции на ISA Server 2006 в виртуальной среде под управлением Windows Server 2008 Hyper-VПредисловие

За последние несколько лет технологии виртуализации приобрели огромную популярность. В частности, концепция консолидации серверных ролей за счёт миграции физических серверов в виртуальную среду превратилась из сомнительных рассказов о недалёком будущем в решение, доступное практически каждой компании. Но весь этот ажиотаж совершенно не коснулся серверных ролей, призванные защищать сетевой периметр предприятий. Я говорю о серверах удалённого доступа и корпоративных межсетевых экранах. Администраторы брандмауэров уровня сети не ринулись переводить их в виртуальное окружение. Причиной этому является целый ряд факторов.

Во-первых, аппаратные (hardware-based) брандмауэры, яркими представителями коих являются продукты семейства Cisco PIX и ASA, просто не могут работать в виртуальном окружении из-за своей архитектуры. Во-вторых, администраторы, так называемых, программных (software-based) межсетевых экранов, яркими представителями которых являются Microsoft ISA Server и Forefront TMG, считают эксплуатацию промышленных брандмауэров в виртуальном окружении не приемлемой с точки зрения безопасности. Дискуссия о подобного рода аргументации выходит за рамки моей сегодняшней заметки, но я обязательно вернусь к этой теме на страницах {Бинарного} Форпоста.

На сегодня нам будет достаточно того, что с выходом Windows Server 2008, включающем полноценный гипервизор Hyper-V для аппаратной виртуализации серверных приложений, компания Microsoft официально поддерживает эксплуатацию production-серверов с ISA Server и Forefront TMG в виртуальной среде.

Отмечу, что компания Microsoft и ранее поддерживала эксплуатацию ISA Server в виртуальной среде на платформе Microsoft Virtual Server. Но эта поддержка была “не совсем полной”, если позволите так выразиться. Дело в том, что виртуализация ISA Server в среде Microsoft Virtual Server требовала выполнения ряда дополнительных условий. А выполнение этих условий сводило на нет подавляющее большинство преимуществ работы в виртуальной среде.

За подробностями поддержки вендором работы ISA Server и Forefront TMG в виртуальном окружении можете обратиться с документу Security Considerations with Forefront Edge Virtual Deployments.

Принимая во внимание всё вышесказанное, я хочу поделиться опытом практического внедрения Microsoft ISA Server в виртуальной вреде под управлением Windows Server 2008 Hyper-V. Совсем недавно мною был завершён проект миграции физического сервера ISA Server 2004 на ISA Server 2006 в виртуальной среде Hyper-V у одного из наших заказчиков. Но обо всём по порядку.

Что мы имеем?

К моменту выполнения проекта заказчик использовал ISA Server 2004 Standard Edition на платформе Windows Server 2003 Standard Edition x86. ISA Server 2004 был развёрнут в сценарии пограничного сервера (Edge Server) и выполнял следующие роли:

  • предоставление и контроль безопасного доступа сотрудников компании к ресурсам сети Интернет (Web Client Access and Protection);
  • предоставление внешнего доступа к корпоративному веб-порталу, веб-интерфейсу службы электронной почты (Exchange Outlook Web Access), доступа внешних почтовых клиентов к внутренним почтовым серверам компании (SMTPS и IMAPS); (Secure Applications Publishing)
  • предоставление и контроль внешнего доступа сотрудников компаний-партнёров к ресурсам внутренней сети компании (VPN Site-to-Site Access).

Что мы хотим получить?

В рамках проекта я должен был провести миграцию физического сервера с ISA Server 2004 Standard Edition на платформе Windows Server 2003 Standard Edition x86 в виртуальную машину Hyper-V на платформе Windows Server 2003 Standard Edition с установленным ISA Server 2006 Standard Edition.

Необходимо было обеспечить выполнение всех существующих ролей пограничного сервера и вместе с тем добавить следующий функционал:

  • обеспечение автоматической конфигурации пользовательских приложений на работу с пограничным сервером ISA Server (Web Proxy Automatic Discovery);
  • предоставление и контроль безопасного внешнего доступа сотрудников к ресурсам внутренней сети компании (VPN Remote Access);
  • объединение ресурсов локальной сети с ресурсами сети московского офиса с возможностью контроля доступа (Policy-based Network Routing)
  • автоматический механизм создания резервных копий конфигурации ISA Server.
    Помимо этого, в качестве обязательной процедуры была заявлена оптимизация правил политики брандмауэра и его конфигурации в целом.

Что было сделано?

Во-первых, было необходимо определиться со сценарием миграции ISA Server 2004 –> ISA Server 2006. По причине того, что для развёртывания нового пограничного сервера, куда предполагалось производить миграцию, заказчиком были предоставлены лицензии на русские версии Windows Server 2003 Standard Edition и ISA Server 2006 Standard Edition, сценарий in-place upgrade отпадал сам собой. Посему оставался единственный сценарий, так называемой side-by-side migration, предполагающий развертывание сервера назначения с нуля с последующим экспортом/импортом конфигурации ISA Server. За подробностями о процессе миграции до ISA Server 2006 вы можете обратиться к следующим документам:

    Во-вторых, из-за различия языковых версий исходного ISA Server 2004 (английская версия, русской не существует в природе) и ISA Server 2006 (русская версия) импортировать ISA Server 2004 в ISA Server 2006 не получилось. Поэтому, в рамках проекта конфигурация ISA Server, в том числе и сетевые правила и правила политики брандмауэра, создавались с нуля. Благодаря этому оптимизация правил и конфигурации межсетевого экрана проводилась в процессе развёртывания нового пограничного сервера с ISA Server 2006.

Для облегчения процесса создания конфигурации нового ISA Server 2006 конфигурация ISA Server 2004 была экспортирована в xml-файл, информацию из которого я просматривал с помощью инструмента Config Viewer пакета ISA Server (Forefront TMG) Toolkit компании Red Line Software.

Для обслуживания виртуальных машин в рамках процесса миграции был развёрнут сервер виртуализации на платформе Windows Server 2008 SP2 Standard Edition x64 с ролью Hyper-V.

Сервер виртуализации располагал четырьмя (4) физическими сетевыми адаптерами. Несмотря на то, что гипервизор Hyper-V располагает полноценным виртуальным коммутатором (Virtual Switch), мною было принято решение создания на каждом физическом сетевом адаптере единственной виртуальной сети. Данная конфигурация является рекомендуемой, и количество сетевых адаптеров позволяло мне её использовать. С помощью Hyper-V Virtual Network Manager было создано три (3) виртуальных сети типа External. Оставшаяся сеть не использовалась Hyper-V и была зарезервирована для операций управления сервером виртуализации, что опять же является рекомендуемой конфигурацией.

Процесс развертывания виртуальной машины состоял из следующих этапов:

  1. Создание виртуального жёсткого диска с помощью Hyper-V New Virtual Hard Disk Wizard. В целях увеличения быстродействия подсистемы хранения виртуальной машины был создан виртуальный диск типа “Fixed” (этот этап можно объединить с этапом №2);
  2. Создание виртуальной машины с помощью Hyper-V New Virtual Machine Wizard и дополнительная настройка параметров виртуальной машины;
  3. Подключение виртуальной машины к трем (3) виртуальным сетям типа External, а также подключение сервера виртуализации к внутренней сети;
  4. Развертывание ОС Windows Server 2003 SP2 Standard Edition x86 с последующей установкой Hyper-V Integration Services и всех рекомендуемых обновлений с помощью службы Microsoft Update или WSUS.
  5. Развертывание ISA Server 2006 Standard Edition;
  6. Установка ISA Server 2006 SP1;
  7. Установка ISA Server 2006 SP1 Hotfix Package;
  8. Установка обновления безопаности ISA Server 2006 KB968078;
  9. Конфигурация ISA Server 2006 с использованием информации из файла конфигурации ISA Server 2004;
  10.   Настройка автоматической конфигурации пользовательских приложений на работу с пограничным сервером ISA Server (Web Proxy Automatic Discovery). Для публикации WPAD-записи использовалась служба DNS;
  11.   Переключение интернет-канала на новый пограничный сервер с отключением старого сервера ISA Server 2004 от корпоративной сети;
  12.   Настройка внешнего доступа VPN-клиентов, а также подключение сетей VPN Site-to-Site компаний-партнеров;
  13.   Подключение канала связи с сетью московского офиса и настройка правил маршрутизации;
  14.   Тестирование работы нового пограничного сервера ISA Server 2006;
  15.   Настройка автоматического создания резервных копий конфигурации ISA Server;
  16.   Вывод старого пограничного сервера ISA Server 2004 из эксплуатации.

При установке обновлений ОС и обновлений продукта ISA Server, а также продуктов сторонних разработчиков для простого и удобного обеспечения возможности отката к предыдущей конфигурации использовался механизм Hyper-V создания снимков виртуальных машин (Snapshot).

Для автоматического создания резервных копий конфигурации ISA Server был установлен и настроен инструмент Config Backup пакета ISA Server (Forefront TMG) Toolkit компании Red Line Software. Файлы резервных копий в формате XML сохранялись на жёсткий диск, отличный от системного, а также отправлялись в качестве вложения электронного почтового сообщения группе администраторов ISA Server.

Послесловие

Общее время выполнения описанного проекта составило не более одной рабочей недели. Этот проект является наглядным примером миграции на ISA Server 2006 в виртуальной среде под управлением Windows Server 2008 Hyper-V.

Если у вас есть какие-либо вопросы или собственные аргументы “за и против” развертывания ISA Server/Forefront TMG в виртуальном окружении -  оставляйте комментарии. Как говориться аргументированная критика на страницах {Бинарного} Форпоста всегда приветствуется.

В заключение, хотел бы отметить, что наш заказчик остался весьма доволен, а это, как известно, в нашей работе самое главное =)

Related Posts

  1. Гиперстанция под управлением Windows Server 2008 R2 – Беспроводные сети WLAN
  2. Назад в прошлое с Microsoft ISA Server 2006 SP1
  3. Виртуализация ISA Server/Forefront TMG и работа сетевой подсистемы
  4. Установка ISA Server 2006 SP1 на ознакомительные версии продукта
  5. Невозможность установки Microsoft ISA Server 2006 SP1 на ознакомительные версии продукта
Categories: ISA Server Tags: , ,
  1. taurus
    29 Июнь 2009 в 13:49 | #1
    Ответить | Цитата

    Вопрос – неужели роль кэширования не использовалась? если использовалась, то насколько нибудь отличается настройки кэша физического и виртуального isa server.

  2. Артём [d.raven] Синицын
    30 Июнь 2009 в 13:13 | #2
    Ответить | Цитата

    Уважаемый,taurus!

    Функционал кэширующего веб-прокси севера относиться к роли предоставления внешнего доступа пользователей к ресурсам сети Интернет. Но Вы правы, в рамках данного проекта заказчик отказался от настройки механизма кэширования. В качестве аргументов заказчиком приводились достаточная ширина интернет-канала (10 МБит/сек), а также средний уровень активности сотрудников компании в сети Интернет.

    Что же касается, настройки кэша ISA Server в вирутальной среде. Хотя для самого ISA Server дисковая подсистема критическим ресурсом не является (как, например, для Exchange Server или SQL Server), производительность при включенном механизме кэширования напрямую зависит от производителности виртуальный дисков.

    Очевидно, что при использовании технологий виртуализации мы получим некоторое падение уровня производительности. Для оптимизации производительности дисковой подсистемы виртуальной машины рекомендую следовать нескольким правилам:

    1) размещать программные файлы ISA Server и кэш на дисках, отличных от системного (лучше создать 2 или более виртуальных жёстких диска VHD на разных физических дисках);
    2) подключать виртуальные диски VHD исполняемых фалов ISA Server и кэша через виртуальный SCSI-контроллер, вместо IDE-контроллера;
    3) использовать вирутальные жёсткие диски типа “Fixed” вместо “Dynamic”;
    4) в идеале, следует подключать к виртуальной машине несколько физических дисков “напрямую”, используя так называемые “Passthrough Disks” в Hyper-V для получения максимального уровня производительности.

  3. Pavel Nagaev
    1 Июль 2009 в 11:49 | #3
    Ответить | Цитата

    “Microsoft официально поддерживает эксплуатацию production-серверов с ISA Server и Forefront TMG в виртуальной среде.”

    Тема, прицепи на эти слова линк, где Микрософт официально об этом говорит. Так будет лучше.

    • Артём [d.raven] Синицын
      1 Июль 2009 в 17:37 | #4
      Ответить | Цитата

      Вообще-то ссылка на официальный whitepaper от Microsoft по виртуализации ISA Server/Forefront TMG находится абзацем ниже, Паш.
      Но пожелания читателей для меня закон, посему линк добавлен. Благодарю, за совет.

  4. Артемий
    12 Апрель 2010 в 19:05 | #5
    Ответить | Цитата

    Добрый день! Скажите пожалуйста,а если у меня на сервере 2 физических сетевых адаптера, то у меня есть возможность настройки ISA Server 2006 в виртуальной среде?

    • Артём Синицын
      12 Апрель 2010 в 19:52 | #6
      Ответить | Цитата

      Конечно, есть! Один из сетевых адаптеров будет отвечать за подключения ISA Server и хостовой системы к внутренней сетипредприятия, второй – за подключение ISA Server к внешней сети (читай Интернет).

      Правда, это не самый идеальный случай. Во-первых, в такой конфигурации ISA Server будет “делить” один из адапетров с хостовой системой, что само по себе представляет компрометацию всех ВМ при успешном получении контроля над ISA Server извне. Во-вторых, при “зависании” служб гипервизора мы потеряете возможность получения удаленного контроля над хостовой машиной. Во избежании такой ситуации рекомендуется оставить хотя бы одно сетевое подключение неподконтрольным гипервизору.

      В любом случае, предложенный Вами сценарий имеет право на существование. Особенно, если у Вас нет необходимости в параноидальном уровне безопасности ;)

  5. alex.bolshov
    9 Июль 2010 в 11:06 | #7
    Ответить | Цитата

    добрый день Артем.
    при установке виртуальной IS’ы (TMG) на кластере серверов MS Hyper-V мы получаем отказоустойчивый сервер защищенный от аппаратных сбоев (благодаря live migrate), однако еще требуется обеспечить высокую доступность для пользователей (накат обновлений с перезагрузкой в бизнесс время и пр.). В голову приходит сделать два виртуальных сервера с Load Balancing. Это можно сделать на версии Standart?

    • Артём Синицын
      15 Июль 2010 в 19:18 | #8
      Ответить | Цитата

      При развертывании ISA Server/TMG в виртуальном окружении под управлением Hyper-V на отказоустойчивом кластере гипервизоров Вы получите защиту только от выхода из строя одного или нескольких гипервизоров. При этом в случае выхода из строя гипервизора, который в данный момент обслуживает ВМ с ISA/TMG, кластерная группа с этой ВМ перейдет на другой узел ппосредством механизма Failover, то есть переход по отказу. Ни о какой технологии Live Migration (LM) не может быть и речи. LM – это технология штатного, запланированного перевода кластерных ресурсов между узлами. А при выходе из строя одного из узлов, происходит нештатный, аварийный переход ресурсов. Так чтов подавляющем большинстве случаев пользовательские соединения с ISA/TMG будут разорваны. Но пользователи смогут переподключиться к ISA/TMG через небольшой промежуток времени, затрачиваемый на запуск ВМ на работоспособном кипервизоре.

      Для обеспечения отказоустойчивости на уровне ISA/TMG необходимо создание массива из нескольких брандмауэров. Но такая возможность присутствует только в редакции Enterprise Edition обоих продуктов. Однако существует неподдерживаемый метод объединения нескольких ISA/TMG Standard Edition в NLB-кластер. При этом Вы получаете частичную отказоустойчивость, но теряете официальную поддержку вендора. Да и реализация данного сценария далеко от тривиальной :)

  1. Пока что нет уведомлений.
Введите символы, показанные на картинке
*