Как назначить лицензии RDS для каждого устройства выбранному списку устройств
Невозможно? Не могу поверить
https://social.technet.microsoft.com/Forums/windows/en-US/2a6c5185-5ad2-4958-9325-65e06459e553/assign-rds-device-licenses-to-specific-devices -возможный
Отклонение брандмауэра по имени устройства в локальной сети (в случае динамического IP). Возможно?
Другая возможность?
Когда Linux устанавливает исходящее соединение, он сначала пытается использовать любое адресное приложение, запрошенное при создании сокета. Если он не запросил ничего определенного (или запросил 0,0,0,0
), он ищет подсказку в маршруте.
Можно задать маршрут с таким подсказкой на любой назначенный адрес, это выполняется с помощью ключевого слова src
команды ip
:
ip route add DESTINATION via GATEWAY src PREFERRED_SRC_ADDRESS
Например, на машине у меня есть два адреса, 192,168,168,4/24
и 192,168,168,6/24
(вывод снимается для ясности):
muon ~ # ip addr
...
3: br0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 ... state UP ...
inet 192.168.168.4/24 brd 192.168.168.255 scope global br0
inet 192.168.168.6/24 scope global secondary br0
...
Чтобы использовать 192,168,168,6
для исходящих маршрутов, я должен либо сказать всем программам, чтобы они связывались с ним явным образом, например:
ssh -b 192.168.168.6 dst-address
или настройте мой маршрут по умолчанию так, чтобы он был выбран по умолчанию:
ip route add default via 192.168.168.1 src 192.168.168.6
(маршрут по умолчанию не имеет подсказки по умолчанию; в этом случае система использует подсказку «connected».) Также обратите внимание, что некоторые src уже будут находиться в «подключенном» маршруте, порожденном командой ip address add
и определяемом маской сети:
192.168.168.0/24 dev br0 proto kernel scope link src 192.168.168.4
Это потому, что адрес .4
был «первичным» в этой системе, и .6
был добавлен позже. Эти два маршрута - все, что у меня есть в основной таблице, так что теперь я буду подключаться от .4
к машинам в одной локальной сети (когда я иду через «подключенный» маршрут) и от .6
к машинам за ее пределами (когда я иду через «стандартный» маршрут). Я также могу обновить этот маршрут, чтобы использовать в нем адрес .6
:
ip route change 192.168.168.0/24 dev br0 src 192.168.168.6
Чтобы использовать адрес .4
, теперь я должен связываться с ним явно, например, с ssh -b
, или настроить дополнительные маршруты с «более длинным префиксом» для определенных систем, для которых я хочу использовать адрес .4
.
Вся машина времени доступна для входящих подключений к обоим IP-адресам. Если я хочу, чтобы он принимал соединения только с одним из них, я могу просто заблокировать нежелательные соединения в брандмауэре.
-121--478865- Настаиваю на правильной терминологии. static
или dynamic
- это способ настройки IP-адреса компьютера (в файле конфигурации, через DHCP или что угодно). public
или private
- это класс, которому принадлежит этот адрес, эти классы определяются IANA, в частности частные адреса определяются в RFC1918.
Вы по-прежнему называете открытый адрес статическим , игнорируя, что я исправил вас в комментарии. Это разочаровывает. Мое следующее сообщение будет предполагать, если вы говорите, что статика вы имели в виду статика, так что лучше обратиться к вещи правильно.
Никто не облагает налогом за статичность или динамичность адреса, потому что это глупо и глупо. Но в мире мало глобально маршрутизируемых («публичных») IP-адресов, и поэтому в настоящее время они являются дорогостоящими, поэтому я понимаю ваше желание минимизировать их использование.
Я рекомендую всегда иметь выделенный открытый IP-адрес в хост-системе виртуализации, чтобы он всегда был доступен,и еще один для своего BMC (iLO в вашем случае), это может спасти вас много хлопот, когда у вас есть проблемы с гипервизором или дисками или RAID другого основного оборудования. И тогда вам понадобится по крайней мере один (третий) открытый IP-адрес для виртуального маршрутизатора, который будет выполнять NAT для остальных.
Если вы хотите, чтобы VM-1 был вашим маршрутизатором с NAT, он должен иметь два vNIC, один с открытым IP для интернета, а другой в виртуальной сети вместе с другими виртуальными машинами. Другие машины должны иметь только одну vNIC к частной NIC маршрутизатора VM-1; настройте их таким образом, чтобы шлюз по умолчанию был частным IP-адресом VM-1.
Теперь относитесь к нему как к обычному программному маршрутизатору; Я бы установил на него Linux и сделал бы обычный NAT с iptables. Вы также можете использовать его в качестве конечной точки VPN, это будет желательно в некоторых случаях. Существует множество руководств по этой теме в Интернете, включая ServerFault.
-121--477704-Как только пользователь или устройство (в зависимости от конфигурации лицензирования) подключится к RDS, будет выдана лицензия, без вопросов - это на основе первого прихода. Насколько я понимаю, ваш второй вопрос - вы хотели бы попытаться ограничить его с помощью брандмауэра? - Это невозможно, так как выдача лицензий производится с сервера RDS, поэтому источник и назначение будут одинаковыми для всех (Хост сеанса RDS отправляет запрос на лицензирование серверу лицензирования удаленных рабочих столов, и подключающийся клиент/пользователь привязан к месту в диспетчере лицензий - связь между клиентом и сервером лицензий не осуществляется напрямую). Единственная возможность, которую я вижу, это иметь два узла сеансов RDS, один лицензированный и один нет - но это, конечно, не решение по понятным причинам.