Репликация с клиентов на внешний кластер Hyperv
Я хочу реплицировать виртуальные машины, которые находятся на клиентских сайтах, в наш кластер. Наш кластер состоит из 3 Hyper-V, объединенных вместе с san в качестве хранилища. Кластер находится в домене. Брокер реплик настроен, но имеет ту же подсеть, что и кластер, поскольку он принимает только сеть хостов.
Таким образом, можно реплицировать удаленные виртуальные машины в наш кластер из разных доменов.
приблизительное изображение настройки
- Меня беспокоит создание VPN между клиентским сайтом и подсетью брокера реплик, поскольку подсеть брокера реплик совпадает с подсетью моего домена, а хосты Hyperv в кластере находятся в домене.
Есть ли способ без проблем реплицировать виртуальные машины с разных сайтов в наш кластер?
Является ли репликация с использованием порта 443 рекомендуемым методом?
Можно реплицировать удаленные виртуальные машины из разных доменов в кластер. Вы просто должны помнить, что:
Реплика Hyper-V не будет работать, если исходный хост не может проверить идентичность целевого хоста и наоборот. Это хорошо, но это также может быть надоедливым. У вас есть два варианта: Kerberos аутентификация и аутентификация на основе сертификатов.
Случай 1: Если эти сайты подключены к VPN-туннелю ,вы можете установить TRUSTS между доменами Active Directory или лесами Active Directory (в зависимости от ситуации), а затем использовать Kerberos в качестве метода аутентификации . В этом случае трафик реплики Hyper-V будет по умолчанию настроен на порт 80 и будет работать в незашифрованном виде, но у вас есть VPN-соединение, так что все должно быть в порядке.
Случай 2: Вы не хотите или не можете настроить доверительные отношения между этими двумя доменами - тогда вы используете аутентификацию на основе сертификатов , и если да, то вы не должны использовать VPN-соединение между этими двумя сайтами для реплики Hyper-V, потому что с сертификатом. Авт. весь трафик зашифрован (до тех пор, пока закрытые ключи хостов должным образом защищены, передача трафика реплики Hyper-V на основе сертификатов напрямую через Интернет настолько безопасна, насколько это возможно).
Вот хороший пост .
Если трафик вашей реплики будет напрямую проходить через незащищенную сеть (Интернет), не используйте проверку подлинности Kerberos. Источник и серверы-реплики будут надежно аутентифицировать друг друга, но трафик реплики не зашифрован. Однако, если вы используете безопасный туннель, такой как VPN типа "сеть-сеть", тогда вы можете свободно использовать Kerberos. Нет смысла использовать зашифрованный туннель для передачи зашифрованный трафик. Кроме того, поскольку шифрование на основе сертификатов асимметрично, зашифрованные пакеты намного больше, чем незашифрованный источник. Двойное шифрование значительно увеличивает размер полезной нагрузки.
А что касается VPN и подсетей:
Меня беспокоит создание VPN между клиентским сайтом и репликой. подсеть брокера как подсеть брокера реплики такая же, как мой домен подсеть и хосты Hyper-V в кластере находятся в домене.
Создание VPN зависит от выбранного вами пути. В любом случае, я не вижу проблемы в том, чтобы брокер реплики находился в той же подсети, что и подсеть вашего домена и хосты Hyper-V. Меня беспокоит только использование полосы пропускания реплики и ее влияние на мою сеть. Имейте в виду, что Hyper-V Replica позволяет выполнять начальную репликацию с помощью переносных носителей.