Виртуализация ISA Server/Forefront TMG и работа сетевой подсистемы
Полагаю, большинство из Вас знакомы со столь популярной в наше время темой виртуализации. Использование технологий виртуализации, в частности гипервизора Hyper-V компании Microsoft, для построения серверной инфраструктуры дает Вам целый ряд неоспоримых преимуществ. Но вместе с тем развертывание серверных приложений в виртуальной среде накладывает еще более жесткие и строгие требования к процессу планирования и дизайна Ваших информационных систем.
Это утверждение справедливо и для систем безопасности. Внедрение продуктов семейства Forefront Edge Security, таких как Microsoft ISA Server, Forefront TMG, IAG и Forefront UAG, в виртуальном окружении представляет собой достаточно непростую задачу, требующую очень серьезного подхода к её решению. Как ISA Server/TMG является корпоративным брандмауэром уровня сети, так и остальные продукты семейства Forefornt Edge Security заточены на работу с сетевым трафиком и, соответственно, сильно утилизируют ресурсы сетевой подсистемы. Этот факт становится еще более критичным в контексте виртуализации аппаратных ресурсов сетевых адаптеров. Именно помочь в разрешении подобных проблем с работой сетевой подсистемы виртуализованных межсетевых экранов ISA Server/TMG и призвана данная статья.
Итак, если Ваш периметр защищен с помощью продуктов семейства Forefront Edge Security, установленных на виртуальные машины под управлением Windows Server 2008 R2 c ролью Hyper-V и генерирующих большой объем исходящего трафика, это может привести к потере сетевых адаптеров виртуальными машинами и, более того, к отключению этих сетевых адаптеров.
Конечно, в этой ситуации Вас может спасти полная перезагрузка виртуальной машины, но в целом проблемы это не решает. А вот комплексно подойти к разрешению вышеозвученной ситуации Вам поможет данная статья базы знаний:
Вместо послесловия
Стоит ли развертывать межсетевые экране ISA Server/TMG – вопрос неоднозначный. Это решение остается за каждым ИТ-специалистом, работащим с данными продуктами. Но использовать технологии виртуализации для построения периметральных систем на основе ISA Server/TMG можно и, в некоторых случаях, даже нужно! Сегодня мы устранили еще одно препятствие на этом нелегком пути :)
В одной из следующих статей мы затронем тему использования технологии NLB вместе с Forefront TMG на платформе Windows Server 2008 R2, в том числе и в виртуальной среде. Не переключайтесь ;)
Related Posts
- Практический пример миграции на ISA Server 2006 в виртуальной среде под управлением Windows Server 2008 Hyper-V
- Доклад “Forefront TMG 2010 – полноправный наследник ISA Server”
- Легенды и мифы ISA Server/TMG – Режим работы с единственным сетевым адаптером
- Найдена уязвимость в Microsoft ISA Server и Forefront TMG
- 3 года ожидания, 3 буквы названия, 3 буквы статуса – Forefront TMG 2010 RTM
Артем, какие-то конкретные нагрузочные характеристики на сетевую подсистему есть?
Каких-то конкретных значений сетевой нагрузки, при которой возникают описанные проблемы нет. Чем больше исходящего сетевого трафика от виртуальных машин приходится обрабатывать родительскому разделу, тем больше вероятность потери сетевых адаптеров. Вообще, подобные проблемы имеют, так называемый, “плавающий” характер, и описать их в числовом выражении зачастую просто нереально.
Проще говоря, если Вы сталкивались с потерей доступности виртуальных машин по сети, и эта доступность восстанавливалась после перезапуска виртуальной машины, данное обновление – однозначный must have :)
Отлично, а то думал у меня крыша едет а не сетка на hyper-v . :)
Артем,
я правильно понимаю, что данная проблема лежит скорее в плоскости самого hyper-v, а не сервисев, нагружающих сеть? И если это так, то возможно в других средах виртуализации (например VMware) эта проблема может вообще отсутствовать?
И еще вопрос – продвинутые аппаратные файерволы (например от Cisco) могут полностью реализовать весь функционал Forefront TMG 2010? Если есть ограничения, то где?
Спасибо!
1) Вы всё правильно понимаете, Sherik. Но данная проблема проявляется только при ощутимой нагрузке на сетевую подсистему виртуальных машин. Естественно, сетевые адаптеры межсетевого являются одними из самых нагруженных в инфраструктуре.
2) Прокомментировать работу VMware не могу просто потому, что не использую их продукты :)
3) Вы затронули очень глубокий вопрос, но если хотите получить ответ в одно слово, то НЕТ, конечно! Ни один из известных мне аппаратных брандмауэров компании Cisco не может реализовать все функции TMG. Ограничений даже больше, чем можно себе представить :)
Повторюсь, это крайне сложный вопрос, но я обязательно вернусь к его освещению на страницах этого блога ;)
Очень ждем тему использования технологии NLB вместе с Forefront TMG на платформе Windows Server 2008 R2 в виртуальной среде.
Тема создания NLB-массива Forefront TMG в виртуальном окружении ещё не раз будет освещена на страницах данного блога. Анастасия, скажите пожалуйста, какие моменты реализации данного сценария Вас особенно интересуют.