Репликация с клиентов на кластер Hyperv вне офиса

Question

Репликация с клиентов на кластер Hyperv вне офиса

Я хочу скопировать виртуальные машины, которые находятся на клиентских сайтах, в наш кластер. Наш кластер представляет собой 3 кластера Hyper-V вместе с San в качестве хранилища. Кластер находится в домене. Посредник реплик настроен, но имеет ту же подсеть, что и кластер, так как он принимает только сеть хоста.

Таким образом, возможно ли реплицировать удаленные Vms в наш кластер из разных доменов.

грубая настройка изображения

Меня беспокоит создание VPN между клиентским сайтом и подсетью посредника реплик, поскольку подсеть посредника реплик совпадает с моей подсетью домена, а узлы Hyperv в кластере находятся в домене.

Есть ли способ, которым мы можем без проблем реплицировать виртуальные машины с разных сайтов в наш кластер?

Является ли репликация с использованием порта 443 рекомендуемым методом?

0

active-directory hyper-v cluster replication hyper-v-server-2012-r2

Источник

Fish 02 окт '19 в 04:26

1 ответ

Другие вопросы по тегам active-directory hyper-v cluster replication hyper-v-server-2012-r2

Leshy 03 окт '19 в 16:53 2019-10-03 16:53 · Answer 1 · 2019-10-03 16:53

Можно скопировать удаленные виртуальные машины из разных доменов в ваш кластер. Вы просто должны иметь в виду, что:

Реплика Hyper-V не будет работать, если исходный хост не может проверить подлинность целевого хоста и наоборот. Это хорошо, но может быть и неприятно. У вас есть два варианта: аутентификация Kerberos и аутентификация на основе сертификатов.

Случай 1: Если эти сайты связаны с VPN-туннелем, вы можете настроить TRUSTS между доменами Active Directory или лесами Active Directory (в зависимости от вашей ситуации), а затем использовать Kerberos в качестве метода аутентификации. В этом случае трафик реплики Hyper-V по умолчанию будет использовать порт 80 и будет работать в незашифрованном виде, но у вас есть соединение VPN, так что все должно быть в порядке.

Случай 2: Вы не хотите или не можете установить доверительные отношения между этими двумя доменами - тогда вы используете аутентификацию на основе сертификатов, и если это так, вам не следует использовать VPN-соединение между этими двумя сайтами для реплики Hyper-V, потому что с Cert. Авт. весь трафик зашифрован (при условии, что закрытые ключи хостов надежно защищены, максимально безопасно передавать трафик реплики Hyper-V на основе сертификатов непосредственно через Интернет).

Вот хороший пост.

Если ваш трафик реплики будет напрямую проходить через незащищенную сеть (Интернет), не используйте аутентификацию Kerberos. Серверы источника и реплики будут надежно аутентифицировать удостоверения друг друга, но трафик реплики не шифруется. Однако, если вы используете безопасный туннель, такой как VPN типа "сеть-сеть", то можете свободно использовать Kerberos. Использование зашифрованного туннеля для переноса зашифрованного трафика мало что дает. Кроме того, поскольку шифрование на основе сертификатов является асимметричным, зашифрованные пакеты намного больше, чем незашифрованный источник. Двойное шифрование значительно увеличивает размер полезной нагрузки.

А что касается VPN и подсетей:

Меня беспокоит создание VPN между клиентским сайтом и подсетью посредника реплики, поскольку подсеть посредника реплики совпадает с моей подсетью домена, а узлы Hyper-V в кластере находятся в домене.

Создавать VPN или нет зависит от выбранного вами пути. В любом случае я не вижу проблемы в том, чтобы посредник реплик находился в той же подсети, что и ваша подсеть домена и хосты Hyper-V. Единственное, что меня беспокоит, - это использование полосы пропускания трафика реплики и ее влияние на мою сеть. Помните, что Hyper-V Replica позволяет выполнять первоначальную репликацию с использованием переносного носителя.