Комментарии на: Практический пример миграции на ISA Server 2006 в виртуальной среде под управлением Windows Server 2008 Hyper-V

От: Артём Синицын

Артём Синицын — Thu, 15 Jul 2010 14:18:00 +0000

При развертывании ISA Server/TMG в виртуальном окружении под управлением Hyper-V на отказоустойчивом кластере гипервизоров Вы получите защиту только от выхода из строя одного или нескольких гипервизоров. При этом в случае выхода из строя гипервизора, который в данный момент обслуживает ВМ с ISA/TMG, кластерная группа с этой ВМ перейдет на другой узел ппосредством механизма Failover, то есть переход по отказу. Ни о какой технологии Live Migration (LM) не может быть и речи. LM - это технология штатного, запланированного перевода кластерных ресурсов между узлами. А при выходе из строя одного из узлов, происходит нештатный, аварийный переход ресурсов. Так чтов подавляющем большинстве случаев пользовательские соединения с ISA/TMG будут разорваны. Но пользователи смогут переподключиться к ISA/TMG через небольшой промежуток времени, затрачиваемый на запуск ВМ на работоспособном кипервизоре. Для обеспечения отказоустойчивости на уровне ISA/TMG необходимо создание массива из нескольких брандмауэров. Но такая возможность присутствует только в редакции Enterprise Edition обоих продуктов. Однако существует неподдерживаемый метод объединения нескольких ISA/TMG Standard Edition в NLB-кластер. При этом Вы получаете частичную отказоустойчивость, но теряете официальную поддержку вендора. Да и реализация данного сценария далеко от тривиальной :)

От: alex.bolshov

alex.bolshov — Fri, 09 Jul 2010 06:06:24 +0000

добрый день Артем.
при установке виртуальной IS’ы (TMG) на кластере серверов MS Hyper-V мы получаем отказоустойчивый сервер защищенный от аппаратных сбоев (благодаря live migrate), однако еще требуется обеспечить высокую доступность для пользователей (накат обновлений с перезагрузкой в бизнесс время и пр.). В голову приходит сделать два виртуальных сервера с Load Balancing. Это можно сделать на версии Standart?

От: Артём Синицын

Артём Синицын — Mon, 12 Apr 2010 14:52:14 +0000

Конечно, есть! Один из сетевых адаптеров будет отвечать за подключения ISA Server и хостовой системы к внутренней сетипредприятия, второй – за подключение ISA Server к внешней сети (читай Интернет).

Правда, это не самый идеальный случай. Во-первых, в такой конфигурации ISA Server будет “делить” один из адапетров с хостовой системой, что само по себе представляет компрометацию всех ВМ при успешном получении контроля над ISA Server извне. Во-вторых, при “зависании” служб гипервизора мы потеряете возможность получения удаленного контроля над хостовой машиной. Во избежании такой ситуации рекомендуется оставить хотя бы одно сетевое подключение неподконтрольным гипервизору.

В любом случае, предложенный Вами сценарий имеет право на существование. Особенно, если у Вас нет необходимости в параноидальном уровне безопасности ;)

От: Артемий

Артемий — Mon, 12 Apr 2010 14:05:27 +0000

Добрый день! Скажите пожалуйста,а если у меня на сервере 2 физических сетевых адаптера, то у меня есть возможность настройки ISA Server 2006 в виртуальной среде?

От: Артём [d.raven] Синицын

Артём [d.raven] Синицын — Wed, 01 Jul 2009 13:37:51 +0000

Вообще-то ссылка на официальный whitepaper от Microsoft по виртуализации ISA Server/Forefront TMG находится абзацем ниже, Паш.
Но пожелания читателей для меня закон, посему линк добавлен. Благодарю, за совет.

От: Pavel Nagaev

Pavel Nagaev — Wed, 01 Jul 2009 07:49:50 +0000

“Microsoft официально поддерживает эксплуатацию production-серверов с ISA Server и Forefront TMG в виртуальной среде.”

Тема, прицепи на эти слова линк, где Микрософт официально об этом говорит. Так будет лучше.

От: Артём [d.raven] Синицын

Артём [d.raven] Синицын — Tue, 30 Jun 2009 09:13:12 +0000

Уважаемый,taurus!

Функционал кэширующего веб-прокси севера относиться к роли предоставления внешнего доступа пользователей к ресурсам сети Интернет. Но Вы правы, в рамках данного проекта заказчик отказался от настройки механизма кэширования. В качестве аргументов заказчиком приводились достаточная ширина интернет-канала (10 МБит/сек), а также средний уровень активности сотрудников компании в сети Интернет.

Что же касается, настройки кэша ISA Server в вирутальной среде. Хотя для самого ISA Server дисковая подсистема критическим ресурсом не является (как, например, для Exchange Server или SQL Server), производительность при включенном механизме кэширования напрямую зависит от производителности виртуальный дисков.

Очевидно, что при использовании технологий виртуализации мы получим некоторое падение уровня производительности. Для оптимизации производительности дисковой подсистемы виртуальной машины рекомендую следовать нескольким правилам:

1) размещать программные файлы ISA Server и кэш на дисках, отличных от системного (лучше создать 2 или более виртуальных жёстких диска VHD на разных физических дисках);
2) подключать виртуальные диски VHD исполняемых фалов ISA Server и кэша через виртуальный SCSI-контроллер, вместо IDE-контроллера;
3) использовать вирутальные жёсткие диски типа “Fixed” вместо “Dynamic”;
4) в идеале, следует подключать к виртуальной машине несколько физических дисков “напрямую”, используя так называемые “Passthrough Disks” в Hyper-V для получения максимального уровня производительности.

От: taurus

taurus — Mon, 29 Jun 2009 09:49:43 +0000

Вопрос – неужели роль кэширования не использовалась? если использовалась, то насколько нибудь отличается настройки кэша физического и виртуального isa server.