Разрешено ли хосту виртуализации запускать какой-либо сервис?

Недавно я настроил сервер виртуализации для небольшой компании, которой я управляю. На этом сервере работает несколько виртуальных машин, которые используются для разработки, тестирования и т. Д.

Мой деловой партнер работает из удаленного местоположения, поэтому я также установил сервер vpn на хосте виртуализации, чтобы он мог безопасно обращаться к службам компании. Более того, снова на хосте виртуализации я установил bacula для выполнения резервного копирования данных.

Это целесообразно / хорошая практика, или я должен создать еще одну виртуальную машину для резервного копирования и VPN? Плохо ли запускать эти сервисы на самом хосте? Если да, то почему?

Хост Virtualizaton должен быть самой защищенной машиной, которая у вас есть. Самая безопасная машина - та, которая вообще не подключена к сети ;-)

Имея это в виду, лучше не предлагать какие-либо услуги на ваших общедоступных интерфейсах. У вас даже не должно быть IP-адреса (мост для виртуальных машин - layer2).

Думайте о VM-хосте как о DMZ: трафик на него запрещен, возникновение проблем не возникает.

Итак, в вашем примере:

• VNC: Bad - это входящий сервис
• Резервное копирование: нет проблем - сеансы инициируются отсюда наружу

Но даже тогда - вы должны запускать только сервисы, которые не будут поглощать RAM / CPU / IO на вашем виртуальном хосте, иначе ваши виртуальные машины будут страдать от нехватки ресурсов.

Я бы предложил разделить функции VPN на аппаратный брандмауэр или отдельное устройство ... Например, что произойдет, если сервер не работает?

Но вместо этого можно использовать существующий хост виртуализации в качестве терминала для вашей VPN. Резервные копии тоже не обязательно являются проблемой.

Это звучит как небольшая настройка (какой тип оборудования вы используете?), Но если вы спрашиваете, может быть, у вас есть какие-то оговорки? Как вы думаете, почему это не очень хорошая идея?