不知道我在这里使用正确的条款,这基本上是为什么我问(用正确的条款,我可以肯定谷歌)。
我有Windows 2008的“一个大服务器”,其上有几个虚拟机(linux,win7,win2k8)。 服务器可以使用公共IP地址访问。 我想启用以下,只是不知道从哪里开始:
我认为我需要一个用于远程桌面访问的VPN,我需要某种基于主机或基于主机的+基于协议的NAT(如果是这样的话)。
这似乎已经做了一百万次,我只是不知道从哪里开始,使用什么软件,或者只是谷歌什么。 另外,恐怕SSL不能这样工作,因为主机名在握手之前是不可见的。
在你的问题中有很多需要说明的内容,但是我将关注SSL网站部分,因为它具有超出技能水平/知识范围的实际限制。 如果您需要VPNconfiguration,WebDAV,FTP等的特定帮助,将问题的其余部分分解为更小的块是有意义的。
如果您只计划托pipe几个SSL网站,或者他们将成为通配符网站(即* .example.com),并且前面有一个反向代理服务器,则可以使用一个公共IP地址。 如果您需要多个域名(example.com,example.net,foo.com,bar.com等),则可以取消安装在反向代理上的主题备用名称(SAN)或UCC证书。 在维基百科上有一个方便的图表 ,向您显示热门证书供应商列表以及您提供的产品数量。 全球标志提供多达40与他们的证书。
您也可以使用其他端口( https://vm1:443 , https://vm2:444等)和适当的NAT规则(在虚拟机前面的防火墙中)滚动,但这通常不适用于公共站点。
现在,不能让服务器使用SSL处理不同站点的原因是SSL的工作原理:SSL对话(握手)发生在从客户端发送主机头(“主机名”) 之前并由终止SSL连接的服务器解释,例如像Apache或IIS这样的networking服务器或像nginx这样的反向代理/networking服务器。 这是因为服务器不会“知道”那个证书,并且(通常)只会提供configuration中定义的默认(或第一个)证书。 这个“默认”SSL证书可以是主题备用名称(SAN)证书或通配符证书,这可能适合您的需要。
服务器名称指示 (SNI)是一个新的替代scheme(实际上是SSL / TLS协议的扩展,它允许客户端将SSL主机头指定为SSL对话的一部分)到多SSL站点的问题,但被阻止老化的浏览器人口,只有在IE7 +(仅适用于Vista +),Firefox 2+等版本中才能使用,因此如果您期望未洗过的大量用户访问您的SSL站点,则可能无法满足您的需求。
因为听起来你想成为某种托pipe服务提供商(这是一种蠕虫),我想从我的ISP / colo提供商那里得到一大块IP,代理ARP,或者在configuration过程中为虚拟机物理分配一个公有IP地址,并让它们获得自己的证书等等。没有NAT的情况下,这些东西只会更好地工作,并且会减lesspipe理开销。 如果每个虚拟机都是多租户(即商品“共享主机”,尽可能多的网站可以在虚拟机上填充),那么你可以结合使用SAN证书/ IP地址,但要记住,你不能随便添加/删除域名到证书:您必须再次通过证书申请/签名过程,他们可能会再次收取您的费用。
我也会非常小心地保护主机(“一个大服务器”),并假设你正在使用Hyper-V,专用一个物理网卡(即不要在你的Hyper-Vconfiguration中包含一个虚拟networking)到通过真正的(硬件)防火墙保护盒子的远程pipe理,并build立一些安全连接的风格(如始终在线的IPSec隧道),最好在单独的/保证的Internet连接上*或至less一个公共IP用于防火墙ACL目的和QoS的 “客户”块之外的不同块。 我也想看看您的服务器是否支持IPMI (戴尔的DRAC),并将其与您的专用物理网卡配合使用,作为您的pipe理networking的一部分,无法通过公共互联网访问; 这将允许您获得裸机的访问权限,以便您可以重新启动,远程执行固件升级等。
*这种专用连接要求在受pipe理的设施中可能不是问题,他们可能会采取自己的步骤来确保/保证(具有SLA)正常运行时间/带宽/弹性。
我不是一个Windows用户,但我可以给你正确的条款,你可以谷歌,并找出它是如何做到Windows。
你正在寻找的是一个“反向代理”,将您的网站路由到虚拟机的本地IP地址。 在我的情况下,我用nginx作为反向代理。 我希望这有助于,让我们知道如果你需要别的东西。