Hyper-V e pfSense em produção?
-
Boa tarde senhores,
Lá vai o meu primeiro tópico neste fórum que eu já venho visitando à um certo tempo.
Pessoal é o seguinte, tenho um ambiente em produção já rodando um Windows Server 2008 R2 (DHCP + DNS + AD), e agora surgiu o interesse em colocar o pfSense como solução de Firewall. Fiz uma solicitação á gerencial comercial e fui informado que não teria recursos suficientes para comprar uma máquina para colocar o Firewall em produção.
Li a um certo tempo neste mesmo fórum que já haveria a real capacidade do Hyper-V comportar o pfSense. Mas aí fica a minha dúvida, em um ambiente de produção com 100 computadores, uma máquina virtualizada aguentará o volume de dados? (ignorando o Hardware da máquina).
Posso confiar em virtualizar um Firewall como pfSense? Quais seriam os entraves quanto as placas de rede?
Desde já agradeço!
Grande abraço
-
Li a um certo tempo neste mesmo fórum que já haveria a real capacidade do Hyper-V comportar o pfSense. Mas aí fica a minha dúvida, em um ambiente de produção com 100 computadores, uma máquina virtualizada aguentará o volume de dados? (ignorando o Hardware da máquina).
Possível é, mas ignorando o hardware da máquina, de jeito nenhum. Começa pelo suporte do processador à tecnologia de virtualização. Só para citar, tenho um processador Intel Core 2 Duo 4300. Não instala o Hyper-V nem a pau. A instalação do pfSense depende ainda do suporte aos drivers: Chipset da Placa-mãe; controladoras de disco; placas de rede onboard ou dedicadas. Portanto, não dá para ignorar o hardware. Mesmo numa máquina dedicada.
É preciso também verificar esse guia:
http://www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49Além disso, na minha opinião, para ambientes de produção, cada máquina deve ter sua função. Resumidamente:
Firewall, quando muito com Proxy, numa máquina; Servidor Windows com AD, servindo DNS e DHCP em outra; Servidor de Arquivos Windows ou Linux ou FreeBSD também em outra máquina.
Também é viável virtualizar Servidores Windows/Linux/FreeBSD, desde que o hardware suporte. Porém de forma que cada máquina Virtual Windows/Linux/FreeBSD sirva aos propósitos acima separadamente.Resumo: pfSense numa máquina dedicada; Servidores Windows/Linux/FreeBSD em outra. Mas é só minha opinião.
-
Buenas!
Do ponto de vista da técnica de virtualização em si, se bem dimensionado e configurado, o pfSense roda muito bem neste formato (embora corrobore com a opinião do jonnybe - cuidado para não confundir virtualização com 'ajuntamento' de servidores).
Em relação ao Hyper-V, existem vários tópicos aqui no fórum que podem lhe ajudar. Um dos mais recentes é este: http://forum.pfsense.org/index.php/topic,59377.0.html
Abraços!
Jack -
JackL e johnnybe muito obrigado pelas suas respostas. Realmente não há nada como fixar uma máquina para rodar nativamente um sistema que irá rotear e ter uma função tão importante quanto a de Firewall.
Vou insistir e comprar uma máquina seguindo essas recomendações certo?
http://www.freebsd.org/releases/8.1R/hardware.html
Muito obrigado!
-
Olá!
Apenas uma correção ao que o Johnnybe disse sobre a separação de serviços em servidores.
Pelo menos um controladores de dominio baseado no Active Directory(Windows Server) deve ser o servidor DNS primário de sua rede, se isto não for respeitado você pode se deparar com sérios problemas na autenticação dos usuários assim como na aplicação de GPOs e outras diretivas de segurança.
O Controlador de Dominio deve ser, de preferencia, o catalogo global inclusive.
Tirando esta pequena questão, assino embaixo dos comentários do Johnnybe e do JackL.
-
Apenas uma correção ao que o Johnnybe disse sobre a separação de serviços em servidores.
Pelo menos um controladores de dominio baseado no Active Directory(Windows Server) deve ser o servidor DNS primário de sua rede, se isto não for respeitado você pode se deparar com sérios problemas na autenticação dos usuários assim como na aplicação de GPOs e outras diretivas de segurança.
É isso mesmo o que eu disse LFCavalcanti! Assino em baixo e endosso! ;D
-
Olá, Boa tarde.
Apenas dando um depoimento…
Tenho 2 servidores com Hyper-V (Windows 2012) com 5 interfaces de rede em casa um, e em cada um tenho 2 instalações de pfsense (em um deles tenho ainda um TMG instalado, em vias de aposentadoria...)... totalizando 5 firewall/proxy/varnish,DHCP,VPN, etc... e 4 links WAN.
Fora as "pegadinhas" iniciais (utilizar placa de rede tipo Legacy e fixar o MAC delas), não tenho problemas no dia a dia...
Qualquer duvida é só avisar !
Abraços
Alexandre Cury
-
Maninho,
Excelente depoimento! Estava esperando algo parecido com o que você falou.
E o funcionamento? 100%? Acho que vou acabar trabalhando dessa maneira em outra ocasião (claro, melhorando o poder de processamento das máquinas utilizadas).
Ontem consegui comprar a estação, já instalei o pfSense 2.1 (só ele reconheceu as duas placas de rede com chipset Realtek).
Falando nisso, o 2.1 funcionaria bem em produção? (fugindo um pouco do assunto do tópico).
Obrigado senhores ;).