使用Windows Server 2008 R2的單臺(tái)服務(wù)器托管解決方案.doc

使用Windows Server 2008 R2的單臺(tái)服務(wù)器托管解決方案 2010-04-25 20:49:37標(biāo)簽：曬文章 Windows Server 2008 R2原創(chuàng)作品，允許轉(zhuǎn)載，轉(zhuǎn)載時(shí)請(qǐng)務(wù)必以超鏈接形式標(biāo)明文章 原始出處 、作者信息和本聲明。否則將追究法律責(zé)任。/225186/3045171 單服務(wù)器主機(jī)托管解決方案（Windows 2003+ISA+VMware Server） 有一些單位在電信、網(wǎng)通或其他運(yùn)營商的機(jī)房，放置了一臺(tái)服務(wù)器進(jìn)行托管，這些服務(wù)器一般會(huì)獲得一個(gè)公網(wǎng)IP，并且用“主機(jī)頭名”的方法，放置多個(gè)網(wǎng)站或論壇。對(duì)于大部分人來說，如果只放一個(gè)網(wǎng)站，那么將服務(wù)器安裝個(gè)Windows Server 2003或Linux，直接放網(wǎng)站就可以了。對(duì)于有些用戶來說，需要放置多個(gè)網(wǎng)站，而這些網(wǎng)站中，有的是一些個(gè)人網(wǎng)站，有的是企業(yè)的網(wǎng)站。當(dāng)網(wǎng)站的“來源”不一的時(shí)候，可能有的網(wǎng)站代碼有“漏洞”，有的可能在這樣、那樣的問題，這樣，如果所有的網(wǎng)站還像以前一樣，都放在同一個(gè)服務(wù)器中，就可能被黑客通過“跨站攻擊”的方式，修改同一服務(wù)器上的其他網(wǎng)站，甚至入侵整個(gè)系統(tǒng)。為了解決這個(gè)問題，我曾經(jīng)提出過一個(gè)解決方案，主機(jī)安裝32位Windows Server 2003企業(yè)版（最多可以支持8GB內(nèi)存），在主機(jī)上安裝ISA Server 2006標(biāo)準(zhǔn)版與VMware Server 1.x版本，并在VMware Server中安裝多個(gè)虛擬機(jī)。將網(wǎng)站分類，將不太重要的網(wǎng)站放在一個(gè)虛擬機(jī)中，將重新的網(wǎng)站單獨(dú)放在別的虛擬機(jī)中，并且用ISA Server發(fā)布VMware Server虛擬機(jī)中的網(wǎng)站，這樣達(dá)到了使用1臺(tái)服務(wù)器、1個(gè)公網(wǎng)地址而實(shí)現(xiàn)了需要多臺(tái)托管服務(wù)器才能解決的問題，并且提高了網(wǎng)站的安全性。這個(gè)方案，在很長的一段時(shí)間內(nèi)使用，證明是非常成功的。2 以前方案存在的問題 但現(xiàn)在計(jì)算機(jī)的發(fā)展越來越快，而用戶需要放置的網(wǎng)站越來越多，這時(shí)候就需要更多的虛擬機(jī)，并且需要虛擬機(jī)具有更高的性能。但使用ISA Server加VMware Server的方案，有個(gè)“先天不足”的地方就是，當(dāng)時(shí)ISA Server只能安裝在32位的Windows Server 2003中，而32位的Windows Server 2003，最多只能使用8GB的內(nèi)存，這是其一；其二，VMware Server虛擬機(jī)提供的性能，并不能讓人滿意（VMware ESX Server提供的虛擬機(jī)性能是很好的）。在幾年前，一個(gè)朋友的服務(wù)器（8GB內(nèi)存、1個(gè)4核CPU、5塊320GB硬盤做的RAID 5）托管在電信機(jī)房，使用的就是我提供的Windows Server 2003+ISA Server+ VMware Server的解決方案。隨著這幾年來服務(wù)器中網(wǎng)站的數(shù)量增加，網(wǎng)站訪問量的增大，感覺到這種方案已經(jīng)不適合現(xiàn)在的需求。3 Windows Server 2008+TMG2010+Hyper-V Server不能共存當(dāng)Windows Server 2008發(fā)布的時(shí)候，其集成的Hyper-V Server虛擬機(jī)，經(jīng)過測(cè)試，性能可以滿足要求。同時(shí)Windows Server 2008可以支持更多的內(nèi)存。但I(xiàn)SA Server 2006并不能在Windows Server 2008下運(yùn)行，只能等ISA Server的下一個(gè)版本。雖然Windows Server 2008早已發(fā)布，但I(xiàn)SA Server 2006的下一個(gè)版本TMG2008直到2009年底才發(fā)布，發(fā)布時(shí)名稱也改為了TMG2010，這個(gè)產(chǎn)品必須要64位的硬件、Windows Server 2008操作系統(tǒng)的支持。那這樣好了，那是不是可以借鑒Windows Server 2003+ISA Server 2006+VMware Server 1.x的經(jīng)驗(yàn)?zāi)?？主機(jī)安裝Windows Server 2008 R2+TMG2010+Hyper-V Server，讓Hyper-V Server實(shí)現(xiàn)虛擬機(jī)用TMG2010轉(zhuǎn)發(fā)呢？想法是美好的，但現(xiàn)實(shí)是殘酷的，經(jīng)過我的實(shí)驗(yàn)，這個(gè)方法是完全行不通的。4 解決思路 現(xiàn)在來看條件與需求：?jiǎn)闻_(tái)托管的高性能物理服務(wù)器，使用Hyper-V虛擬機(jī)實(shí)現(xiàn)多臺(tái)服務(wù)器。需要讓每臺(tái)虛擬機(jī)對(duì)外提供服務(wù)并能讓用戶遠(yuǎn)程管理。要實(shí)現(xiàn)這個(gè)功能，簡(jiǎn)單來說，有兩種方法：多IP地址方法與單IP地址方法。4.1 多IP地址實(shí)現(xiàn)方法 主機(jī)安裝Windows Server 2008 R2，并啟用Hyper-V Server功能，創(chuàng)建多個(gè)虛擬機(jī)，每個(gè)虛擬使用一個(gè)公網(wǎng)的IP地址，每個(gè)用戶可以使用“遠(yuǎn)程桌面”連接到其所在的虛擬機(jī)。這樣可以保證每個(gè)虛擬機(jī)的獨(dú)立性，而Hyper-V Server虛擬機(jī)的性能也足以滿足需要。例如：托管的服務(wù)器有1塊網(wǎng)卡，具有一個(gè)公網(wǎng)地址。使用Hyper-V可以創(chuàng)建多個(gè)虛擬機(jī)，每個(gè)虛擬機(jī)給一個(gè)或多個(gè)用戶使用。而每個(gè)用戶主要是在托管的服務(wù)器上提供網(wǎng)站服務(wù)。而在只有一個(gè)公網(wǎng)IP地址的前提下，“路由和遠(yuǎn)程訪問服務(wù)”是不能將網(wǎng)站服務(wù)所需要的默認(rèn)端口TCP的80同時(shí)轉(zhuǎn)發(fā)到多個(gè)不同的內(nèi)網(wǎng)地址的。這時(shí)候，就需要借助域名服務(wù)中的URL轉(zhuǎn)發(fā)功能。由于這個(gè)思路比較簡(jiǎn)單，所以不展開介紹。4.2 單IP地址端口法 但是，IP地址雖然“不值錢”，托管服務(wù)器的人也“不差錢”，但I(xiàn)P地址并不是想要多少就有多少的，所以，許多時(shí)候只能使用1個(gè)公網(wǎng)IP地址。要想使用1個(gè)公網(wǎng)地址，而又在此公網(wǎng)地址“之后”有多個(gè)虛擬機(jī)，每個(gè)虛擬機(jī)中又有多個(gè)網(wǎng)站，那必須需要一個(gè)類似ISA Server（現(xiàn)在稱作TMG）的程序，進(jìn)行“主機(jī)頭名”或者“TCP端口”轉(zhuǎn)發(fā)，才能實(shí)現(xiàn)多網(wǎng)站。而Windows Server 2003、Windows Server 2008中的“路由與遠(yuǎn)程訪問服務(wù)”是可以實(shí)現(xiàn)TCP端口的轉(zhuǎn)發(fā)功能的。但是，雖然使用1個(gè)公網(wǎng)IP+多TCP端口實(shí)現(xiàn)多個(gè)網(wǎng)站，但采用“端口法”的網(wǎng)站，人們?cè)谠L問的時(shí)候，還要鍵入相應(yīng)的端口才能訪問，例如:8001等，這樣一來，不利于網(wǎng)站的推廣，也不利于用戶記住網(wǎng)站。對(duì)于這個(gè)問題，可以使用某些商業(yè)DNS的URL轉(zhuǎn)發(fā)功能解決。例如，對(duì)于剛剛提到的網(wǎng)站:8001，完全可以將對(duì)站點(diǎn)的訪問，通過URL轉(zhuǎn)發(fā)功能，轉(zhuǎn)發(fā)到:8001，目前許多DNS提供了這個(gè)功能。如果你的網(wǎng)站沒有進(jìn)行備案，目前許多DNS服務(wù)器是不允許使用URL轉(zhuǎn)發(fā)的，這時(shí)候，就可以由IIS中的“網(wǎng)站重定向（HTTP跳轉(zhuǎn)）”功能，將對(duì)的訪問轉(zhuǎn)到:8001的網(wǎng)站。下面將介紹這個(gè)思路的實(shí)現(xiàn)的步驟。5 單公網(wǎng)IP地址、單Windows Server 2008托管服務(wù)器、多虛擬機(jī)解決方案Windows Server 2008集成了Hyper-V Server與“路由和遠(yuǎn)程訪問服務(wù)”，借助于這兩個(gè)服務(wù)，可以將托管在電信機(jī)房的一臺(tái)服務(wù)器，當(dāng)成多臺(tái)服務(wù)器使用，并對(duì)外提供服務(wù)。關(guān)鍵點(diǎn)如下： 使用Hyper-V Server創(chuàng)建多個(gè)虛擬機(jī)，并讓虛擬機(jī)使用“虛擬網(wǎng)絡(luò)” 使用“路由和遠(yuǎn)程訪問服務(wù)”，采用“端口映射”功能，將主機(jī)的（外網(wǎng)）端口轉(zhuǎn)發(fā)到需要的虛擬機(jī)中。5.1 案例描述 A企業(yè)，在電信機(jī)房托管1臺(tái)服務(wù)器，獲得公網(wǎng)地址一個(gè)，假設(shè)該地址為2；在這臺(tái)服務(wù)器上，創(chuàng)建了兩個(gè)虛擬機(jī)，分別給B、C兩個(gè)用戶使用。B用戶，獲得的虛擬機(jī)的IP地址是0。B想要在這個(gè)虛擬機(jī)中配置三個(gè)網(wǎng)站、、www.a3.cc；C用戶，獲得的虛擬機(jī)的IP地址是1。B想要在這個(gè)虛擬機(jī)中配置2個(gè)網(wǎng)站、。則A可以將TCP的801813等端口映射給0的虛擬機(jī)使用，還可以將TCP的800映射給A的“遠(yuǎn)程桌面”所使用的TCP的3389端口，用于遠(yuǎn)程桌面管理。在實(shí)際分配中，還可以多映射一些端口，將來為用戶B添加新網(wǎng)站使用，在本例中，映射了TCP的800819端口給虛擬機(jī)B；將TCP的820829映射給1的虛擬機(jī)，然后再通過相應(yīng)的URL轉(zhuǎn)發(fā)功能，將這些網(wǎng)站的訪問重定向到真正的網(wǎng)站地址。如下表所示。 用戶網(wǎng)站IP：端口虛擬機(jī)IP外網(wǎng)端口用戶B0:801VM1,080181900:802www.a3.cc0:803用戶B遠(yuǎn)程管理3389外網(wǎng)80010.10：3389用戶C1:821182182911:822用戶C的遠(yuǎn)程管理3389外網(wǎng)82010.11：3389下面介紹實(shí)現(xiàn)的主要步驟。5.2 Hyper-V Server處設(shè)置管理員A登錄到托管的主機(jī)（安裝的Windows Server 2008 X64+Hyper-V Server），進(jìn)入“Hyper-V管理程序”，進(jìn)行如下的操作：（1）在Hyper-V中添加名為“內(nèi)部網(wǎng)絡(luò)”的虛擬網(wǎng)絡(luò)，該虛擬網(wǎng)絡(luò)的“連接類型”為“僅內(nèi)部”，如圖1所示。圖1 添加“僅內(nèi)部”網(wǎng)絡(luò)的虛擬網(wǎng)卡添加之后，打開主機(jī)的“網(wǎng)絡(luò)連接”，設(shè)置“內(nèi)部網(wǎng)絡(luò)”虛擬網(wǎng)卡的IP為。（2）為B、C用戶創(chuàng)建的兩臺(tái)虛擬機(jī)，分配虛擬網(wǎng)卡時(shí)，使用圖1中添加的“內(nèi)部網(wǎng)絡(luò)”的虛擬網(wǎng)卡，如圖2所示。圖2 為虛擬機(jī)分配內(nèi)部網(wǎng)卡（3）進(jìn)入B用戶的虛擬機(jī)，設(shè)置IP地址為0、網(wǎng)關(guān)地址為的IP地址，如圖3所示。同樣，對(duì)于C用戶的虛擬機(jī)，設(shè)置IP地址為1，網(wǎng)關(guān)地址為。圖3 為用戶虛擬機(jī)設(shè)置IP地址、網(wǎng)關(guān)地址（4）在Windows Server 2008主機(jī)上，添加“路由和遠(yuǎn)程訪問服務(wù)”（如圖4所示），此時(shí)主機(jī)外網(wǎng)IP是2；內(nèi)網(wǎng)IP地址是。圖4 添加“路由和遠(yuǎn)程訪問服務(wù)”（5）參照表1的要求，映射TCP的800819到0的IP地址，映射TCP的820829到1的IP地址。在映射的時(shí)候，“傳入端口”與“傳出端口”可以一樣，也可以不一樣。這可以根據(jù)自己的愛好，或者規(guī)定好的設(shè)置。其中，“傳入端口”指的是公網(wǎng)的IP地址所使用的端口，是對(duì)Internet用戶所公布的、允許Internet用戶訪問的端口，在此就是表1所規(guī)劃的TCP的800819；而“傳出端口”指映射到的“專用地址”中的服務(wù)端口。例如，將TCP的800映射到0的3389端口(如圖5所示)，對(duì)于Internet中的用戶來說，可以通過使用“遠(yuǎn)程桌面連接程序”連接“公網(wǎng)地址”與800端口，連接到B虛擬機(jī)的遠(yuǎn)程桌面。再舉一例，假設(shè)將TCP的801映射到0的801，則可以在B的虛擬機(jī)中，創(chuàng)建IIS網(wǎng)站，該網(wǎng)站保存的站點(diǎn)內(nèi)容，該網(wǎng)站使用TCP的801端口，而不是使用TCP的80端口。這樣，Internet的用戶，可以通過訪問http:/ 2:801訪問的內(nèi)容。圖5 映射端口到指定的內(nèi)網(wǎng)計(jì)算機(jī)5.3 用戶B的操作用戶B，使用遠(yuǎn)程桌面，登錄2：800到虛擬機(jī)中，添加IIS服務(wù)，創(chuàng)建三個(gè)網(wǎng)站，其中網(wǎng)站使用TCP的801端口（如圖6所示），使用TCP的802端口，www.a3.cc網(wǎng)站使用TCP的803端口。這樣就達(dá)到了創(chuàng)建多個(gè)網(wǎng)站的目的。圖6 使用TCP的801端口創(chuàng)建的網(wǎng)站而用戶C的操作與此類似：登錄2：820到虛擬機(jī)中，在IIS中，創(chuàng)建兩個(gè)網(wǎng)站，網(wǎng)站使用TCP的821端口，使用TCP的822端口。5.4 遠(yuǎn)程測(cè)試 登錄到遠(yuǎn)程的一臺(tái)服務(wù)器，或者讓Internet的用戶，在IE中瀏覽2:801打開B虛擬機(jī)中的的網(wǎng)站，如圖7所示。圖7 在外網(wǎng)打開虛擬機(jī)B的網(wǎng)站5.5 用戶DNS管理處如果用戶認(rèn)為，2:801訪問不容易“記住”，則可以采用DNS提供的“URL轉(zhuǎn)發(fā)申請(qǐng)”功能，將用戶對(duì)的訪問，轉(zhuǎn)到:801，這樣比較符合大家的習(xí)慣。不同的域名服務(wù)商，提供的URL轉(zhuǎn)發(fā)功能不太一樣，但都是在其提供的“DNS管理處”進(jìn)行的設(shè)置，如圖8、圖9所示，這是將對(duì)的訪問轉(zhuǎn)發(fā)到:8001。圖8 URL轉(zhuǎn)發(fā)申請(qǐng)圖9 URL轉(zhuǎn)發(fā)設(shè)置【說明】當(dāng)然在提供這些功能的時(shí)候，需要在DNS管理處，將的A記錄解析為托管的Windows Server 2008主機(jī)的公網(wǎng)的IP地址，在本例中為2。5.6 使用IIS轉(zhuǎn)發(fā)如果DNS不支持“URL轉(zhuǎn)發(fā)”的功能，或者你的域名沒有通過“備案”，則不能提供URL轉(zhuǎn)發(fā)申請(qǐng)，這時(shí)候，就可以利用IIS的“HTTP轉(zhuǎn)發(fā)”功能，將對(duì)的訪問轉(zhuǎn)發(fā)到:801，此時(shí)，需要進(jìn)行如下的操作（需要管理員A進(jìn)行設(shè)置）。（1）管理員A在Windows Server 2008主機(jī)上安裝“Internet信息服務(wù)”，在安裝的時(shí)候，要安裝“HTTP重定向”功能（如圖10所示）以及安裝“IIS管理工具”。圖10 安裝IIS并安裝HTTP重定向功