使用Windows Server 2008 R2的單臺服務器托管解決方案.doc

使用Windows Server 2008 R2的單臺服務器托管解決方案 2010-04-25 20:49:37標簽：曬文章 Windows Server 2008 R2原創(chuàng)作品，允許轉(zhuǎn)載，轉(zhuǎn)載時請務必以超鏈接形式標明文章 原始出處 、作者信息和本聲明。否則將追究法律責任。/225186/3045171 單服務器主機托管解決方案（Windows 2003+ISA+VMware Server） 有一些單位在電信、網(wǎng)通或其他運營商的機房，放置了一臺服務器進行托管，這些服務器一般會獲得一個公網(wǎng)IP，并且用“主機頭名”的方法，放置多個網(wǎng)站或論壇。對于大部分人來說，如果只放一個網(wǎng)站，那么將服務器安裝個Windows Server 2003或Linux，直接放網(wǎng)站就可以了。對于有些用戶來說，需要放置多個網(wǎng)站，而這些網(wǎng)站中，有的是一些個人網(wǎng)站，有的是企業(yè)的網(wǎng)站。當網(wǎng)站的“來源”不一的時候，可能有的網(wǎng)站代碼有“漏洞”，有的可能在這樣、那樣的問題，這樣，如果所有的網(wǎng)站還像以前一樣，都放在同一個服務器中，就可能被黑客通過“跨站攻擊”的方式，修改同一服務器上的其他網(wǎng)站，甚至入侵整個系統(tǒng)。為了解決這個問題，我曾經(jīng)提出過一個解決方案，主機安裝32位Windows Server 2003企業(yè)版（最多可以支持8GB內(nèi)存），在主機上安裝ISA Server 2006標準版與VMware Server 1.x版本，并在VMware Server中安裝多個虛擬機。將網(wǎng)站分類，將不太重要的網(wǎng)站放在一個虛擬機中，將重新的網(wǎng)站單獨放在別的虛擬機中，并且用ISA Server發(fā)布VMware Server虛擬機中的網(wǎng)站，這樣達到了使用1臺服務器、1個公網(wǎng)地址而實現(xiàn)了需要多臺托管服務器才能解決的問題，并且提高了網(wǎng)站的安全性。這個方案，在很長的一段時間內(nèi)使用，證明是非常成功的。2 以前方案存在的問題 但現(xiàn)在計算機的發(fā)展越來越快，而用戶需要放置的網(wǎng)站越來越多，這時候就需要更多的虛擬機，并且需要虛擬機具有更高的性能。但使用ISA Server加VMware Server的方案，有個“先天不足”的地方就是，當時ISA Server只能安裝在32位的Windows Server 2003中，而32位的Windows Server 2003，最多只能使用8GB的內(nèi)存，這是其一；其二，VMware Server虛擬機提供的性能，并不能讓人滿意（VMware ESX Server提供的虛擬機性能是很好的）。在幾年前，一個朋友的服務器（8GB內(nèi)存、1個4核CPU、5塊320GB硬盤做的RAID 5）托管在電信機房，使用的就是我提供的Windows Server 2003+ISA Server+ VMware Server的解決方案。隨著這幾年來服務器中網(wǎng)站的數(shù)量增加，網(wǎng)站訪問量的增大，感覺到這種方案已經(jīng)不適合現(xiàn)在的需求。3 Windows Server 2008+TMG2010+Hyper-V Server不能共存當Windows Server 2008發(fā)布的時候，其集成的Hyper-V Server虛擬機，經(jīng)過測試，性能可以滿足要求。同時Windows Server 2008可以支持更多的內(nèi)存。但ISA Server 2006并不能在Windows Server 2008下運行，只能等ISA Server的下一個版本。雖然Windows Server 2008早已發(fā)布，但ISA Server 2006的下一個版本TMG2008直到2009年底才發(fā)布，發(fā)布時名稱也改為了TMG2010，這個產(chǎn)品必須要64位的硬件、Windows Server 2008操作系統(tǒng)的支持。那這樣好了，那是不是可以借鑒Windows Server 2003+ISA Server 2006+VMware Server 1.x的經(jīng)驗呢？主機安裝Windows Server 2008 R2+TMG2010+Hyper-V Server，讓Hyper-V Server實現(xiàn)虛擬機用TMG2010轉(zhuǎn)發(fā)呢？想法是美好的，但現(xiàn)實是殘酷的，經(jīng)過我的實驗，這個方法是完全行不通的。4 解決思路 現(xiàn)在來看條件與需求：單臺托管的高性能物理服務器，使用Hyper-V虛擬機實現(xiàn)多臺服務器。需要讓每臺虛擬機對外提供服務并能讓用戶遠程管理。要實現(xiàn)這個功能，簡單來說，有兩種方法：多IP地址方法與單IP地址方法。4.1 多IP地址實現(xiàn)方法 主機安裝Windows Server 2008 R2，并啟用Hyper-V Server功能，創(chuàng)建多個虛擬機，每個虛擬使用一個公網(wǎng)的IP地址，每個用戶可以使用“遠程桌面”連接到其所在的虛擬機。這樣可以保證每個虛擬機的獨立性，而Hyper-V Server虛擬機的性能也足以滿足需要。例如：托管的服務器有1塊網(wǎng)卡，具有一個公網(wǎng)地址。使用Hyper-V可以創(chuàng)建多個虛擬機，每個虛擬機給一個或多個用戶使用。而每個用戶主要是在托管的服務器上提供網(wǎng)站服務。而在只有一個公網(wǎng)IP地址的前提下，“路由和遠程訪問服務”是不能將網(wǎng)站服務所需要的默認端口TCP的80同時轉(zhuǎn)發(fā)到多個不同的內(nèi)網(wǎng)地址的。這時候，就需要借助域名服務中的URL轉(zhuǎn)發(fā)功能。由于這個思路比較簡單，所以不展開介紹。4.2 單IP地址端口法 但是，IP地址雖然“不值錢”，托管服務器的人也“不差錢”，但IP地址并不是想要多少就有多少的，所以，許多時候只能使用1個公網(wǎng)IP地址。要想使用1個公網(wǎng)地址，而又在此公網(wǎng)地址“之后”有多個虛擬機，每個虛擬機中又有多個網(wǎng)站，那必須需要一個類似ISA Server（現(xiàn)在稱作TMG）的程序，進行“主機頭名”或者“TCP端口”轉(zhuǎn)發(fā)，才能實現(xiàn)多網(wǎng)站。而Windows Server 2003、Windows Server 2008中的“路由與遠程訪問服務”是可以實現(xiàn)TCP端口的轉(zhuǎn)發(fā)功能的。但是，雖然使用1個公網(wǎng)IP+多TCP端口實現(xiàn)多個網(wǎng)站，但采用“端口法”的網(wǎng)站，人們在訪問的時候，還要鍵入相應的端口才能訪問，例如:8001等，這樣一來，不利于網(wǎng)站的推廣，也不利于用戶記住網(wǎng)站。對于這個問題，可以使用某些商業(yè)DNS的URL轉(zhuǎn)發(fā)功能解決。例如，對于剛剛提到的網(wǎng)站:8001，完全可以將對站點的訪問，通過URL轉(zhuǎn)發(fā)功能，轉(zhuǎn)發(fā)到:8001，目前許多DNS提供了這個功能。如果你的網(wǎng)站沒有進行備案，目前許多DNS服務器是不允許使用URL轉(zhuǎn)發(fā)的，這時候，就可以由IIS中的“網(wǎng)站重定向（HTTP跳轉(zhuǎn)）”功能，將對的訪問轉(zhuǎn)到:8001的網(wǎng)站。下面將介紹這個思路的實現(xiàn)的步驟。5 單公網(wǎng)IP地址、單Windows Server 2008托管服務器、多虛擬機解決方案Windows Server 2008集成了Hyper-V Server與“路由和遠程訪問服務”，借助于這兩個服務，可以將托管在電信機房的一臺服務器，當成多臺服務器使用，并對外提供服務。關鍵點如下： 使用Hyper-V Server創(chuàng)建多個虛擬機，并讓虛擬機使用“虛擬網(wǎng)絡” 使用“路由和遠程訪問服務”，采用“端口映射”功能，將主機的（外網(wǎng)）端口轉(zhuǎn)發(fā)到需要的虛擬機中。5.1 案例描述 A企業(yè)，在電信機房托管1臺服務器，獲得公網(wǎng)地址一個，假設該地址為2；在這臺服務器上，創(chuàng)建了兩個虛擬機，分別給B、C兩個用戶使用。B用戶，獲得的虛擬機的IP地址是0。B想要在這個虛擬機中配置三個網(wǎng)站、、www.a3.cc；C用戶，獲得的虛擬機的IP地址是1。B想要在這個虛擬機中配置2個網(wǎng)站、。則A可以將TCP的801813等端口映射給0的虛擬機使用，還可以將TCP的800映射給A的“遠程桌面”所使用的TCP的3389端口，用于遠程桌面管理。在實際分配中，還可以多映射一些端口，將來為用戶B添加新網(wǎng)站使用，在本例中，映射了TCP的800819端口給虛擬機B；將TCP的820829映射給1的虛擬機，然后再通過相應的URL轉(zhuǎn)發(fā)功能，將這些網(wǎng)站的訪問重定向到真正的網(wǎng)站地址。如下表所示。 用戶網(wǎng)站IP：端口虛擬機IP外網(wǎng)端口用戶B0:801VM1,080181900:802www.a3.cc0:803用戶B遠程管理3389外網(wǎng)80010.10：3389用戶C1:821182182911:822用戶C的遠程管理3389外網(wǎng)82010.11：3389下面介紹實現(xiàn)的主要步驟。5.2 Hyper-V Server處設置管理員A登錄到托管的主機（安裝的Windows Server 2008 X64+Hyper-V Server），進入“Hyper-V管理程序”，進行如下的操作：（1）在Hyper-V中添加名為“內(nèi)部網(wǎng)絡”的虛擬網(wǎng)絡，該虛擬網(wǎng)絡的“連接類型”為“僅內(nèi)部”，如圖1所示。圖1 添加“僅內(nèi)部”網(wǎng)絡的虛擬網(wǎng)卡添加之后，打開主機的“網(wǎng)絡連接”，設置“內(nèi)部網(wǎng)絡”虛擬網(wǎng)卡的IP為。（2）為B、C用戶創(chuàng)建的兩臺虛擬機，分配虛擬網(wǎng)卡時，使用圖1中添加的“內(nèi)部網(wǎng)絡”的虛擬網(wǎng)卡，如圖2所示。圖2 為虛擬機分配內(nèi)部網(wǎng)卡（3）進入B用戶的虛擬機，設置IP地址為0、網(wǎng)關地址為的IP地址，如圖3所示。同樣，對于C用戶的虛擬機，設置IP地址為1，網(wǎng)關地址為。圖3 為用戶虛擬機設置IP地址、網(wǎng)關地址（4）在Windows Server 2008主機上，添加“路由和遠程訪問服務”（如圖4所示），此時主機外網(wǎng)IP是2；內(nèi)網(wǎng)IP地址是。圖4 添加“路由和遠程訪問服務”（5）參照表1的要求，映射TCP的800819到0的IP地址，映射TCP的820829到1的IP地址。在映射的時候，“傳入端口”與“傳出端口”可以一樣，也可以不一樣。這可以根據(jù)自己的愛好，或者規(guī)定好的設置。其中，“傳入端口”指的是公網(wǎng)的IP地址所使用的端口，是對Internet用戶所公布的、允許Internet用戶訪問的端口，在此就是表1所規(guī)劃的TCP的800819；而“傳出端口”指映射到的“專用地址”中的服務端口。例如，將TCP的800映射到0的3389端口(如圖5所示)，對于Internet中的用戶來說，可以通過使用“遠程桌面連接程序”連接“公網(wǎng)地址”與800端口，連接到B虛擬機的遠程桌面。再舉一例，假設將TCP的801映射到0的801，則可以在B的虛擬機中，創(chuàng)建IIS網(wǎng)站，該網(wǎng)站保存的站點內(nèi)容，該網(wǎng)站使用TCP的801端口，而不是使用TCP的80端口。這樣，Internet的用戶，可以通過訪問http:/ 2:801訪問的內(nèi)容。圖5 映射端口到指定的內(nèi)網(wǎng)計算機5.3 用戶B的操作用戶B，使用遠程桌面，登錄2：800到虛擬機中，添加IIS服務，創(chuàng)建三個網(wǎng)站，其中網(wǎng)站使用TCP的801端口（如圖6所示），使用TCP的802端口，www.a3.cc網(wǎng)站使用TCP的803端口。這樣就達到了創(chuàng)建多個網(wǎng)站的目的。圖6 使用TCP的801端口創(chuàng)建的網(wǎng)站而用戶C的操作與此類似：登錄2：820到虛擬機中，在IIS中，創(chuàng)建兩個網(wǎng)站，網(wǎng)站使用TCP的821端口，使用TCP的822端口。5.4 遠程測試 登錄到遠程的一臺服務器，或者讓Internet的用戶，在IE中瀏覽2:801打開B虛擬機中的的網(wǎng)站，如圖7所示。圖7 在外網(wǎng)打開虛擬機B的網(wǎng)站5.5 用戶DNS管理處如果用戶認為，2:801訪問不容易“記住”，則可以采用DNS提供的“URL轉(zhuǎn)發(fā)申請”功能，將用戶對的訪問，轉(zhuǎn)到:801，這樣比較符合大家的習慣。不同的域名服務商，提供的URL轉(zhuǎn)發(fā)功能不太一樣，但都是在其提供的“DNS管理處”進行的設置，如圖8、圖9所示，這是將對的訪問轉(zhuǎn)發(fā)到:8001。圖8 URL轉(zhuǎn)發(fā)申請圖9 URL轉(zhuǎn)發(fā)設置【說明】當然在提供這些功能的時候，需要在DNS管理處，將的A記錄解析為托管的Windows Server 2008主機的公網(wǎng)的IP地址，在本例中為2。5.6 使用IIS轉(zhuǎn)發(fā)如果DNS不支持“URL轉(zhuǎn)發(fā)”的功能，或者你的域名沒有通過“備案”，則不能提供URL轉(zhuǎn)發(fā)申請，這時候，就可以利用IIS的“HTTP轉(zhuǎn)發(fā)”功能，將對的訪問轉(zhuǎn)發(fā)到:801，此時，需要進行如下的操作（需要管理員A進行設置）。（1）管理員A在Windows Server 2008主機上安裝“Internet信息服務”，在安裝的時候，要安裝“HTTP重定向”功能（如圖10所示）以及安裝“IIS管理工具”。圖10 安裝IIS并安裝HTTP重定向功