Hyper-V e pfSense em produção?



  • Boa tarde senhores,

    Lá vai o meu primeiro tópico neste fórum que eu já venho visitando à um certo tempo.

    Pessoal é o seguinte, tenho um ambiente em produção já rodando um Windows Server 2008 R2 (DHCP + DNS + AD), e agora surgiu o interesse em colocar o pfSense como solução de Firewall. Fiz uma solicitação á gerencial comercial e fui informado que não teria recursos suficientes para comprar uma máquina para colocar o Firewall em produção.

    Li a um certo tempo neste mesmo fórum que já haveria a real capacidade do Hyper-V comportar o pfSense. Mas aí fica a minha dúvida, em um ambiente de produção com 100 computadores, uma máquina virtualizada aguentará o volume de dados? (ignorando o Hardware da máquina).

    Posso confiar em virtualizar um Firewall como pfSense? Quais seriam os entraves quanto as placas de rede?

    Desde já agradeço!

    Grande abraço



  • @waldirluz:

    Li a um certo tempo neste mesmo fórum que já haveria a real capacidade do Hyper-V comportar o pfSense. Mas aí fica a minha dúvida, em um ambiente de produção com 100 computadores, uma máquina virtualizada aguentará o volume de dados? (ignorando o Hardware da máquina).

    Possível é, mas ignorando o hardware da máquina, de jeito nenhum. Começa pelo suporte do processador à tecnologia de virtualização. Só para citar, tenho um processador Intel Core 2 Duo 4300. Não instala o Hyper-V nem a pau. A instalação do pfSense depende ainda do suporte aos drivers: Chipset da Placa-mãe; controladoras de disco; placas de rede onboard ou dedicadas. Portanto, não dá para ignorar o hardware. Mesmo numa máquina dedicada.

    É preciso também verificar esse guia:
    http://www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49

    Além disso, na minha opinião, para ambientes de produção, cada máquina deve ter sua função. Resumidamente:
    Firewall, quando muito com Proxy, numa máquina; Servidor Windows com AD, servindo DNS e DHCP em outra; Servidor de Arquivos Windows ou Linux ou FreeBSD também em outra máquina.
    Também é viável virtualizar Servidores Windows/Linux/FreeBSD, desde que o hardware suporte. Porém de forma que cada máquina Virtual Windows/Linux/FreeBSD sirva aos propósitos acima separadamente.

    Resumo: pfSense numa máquina dedicada; Servidores Windows/Linux/FreeBSD em outra. Mas é só minha opinião.



  • Buenas!

    Do ponto de vista da técnica de virtualização em si, se bem dimensionado e configurado, o pfSense roda muito bem neste formato (embora corrobore com a opinião do jonnybe - cuidado para não confundir virtualização com 'ajuntamento' de servidores).

    Em relação ao Hyper-V, existem vários tópicos aqui no fórum que podem lhe ajudar. Um dos mais recentes é este: http://forum.pfsense.org/index.php/topic,59377.0.html

    Abraços!
    Jack



  • JackL e johnnybe muito obrigado pelas suas respostas. Realmente não há nada como fixar uma máquina para rodar nativamente um sistema que irá rotear e ter uma função tão importante quanto a de Firewall.

    Vou insistir e comprar uma máquina seguindo essas recomendações certo?

    http://www.freebsd.org/releases/8.1R/hardware.html

    Muito obrigado!



  • Olá!

    Apenas uma correção ao que o Johnnybe disse sobre a separação de serviços em servidores.

    Pelo menos um controladores de dominio baseado no Active Directory(Windows Server) deve ser o servidor DNS primário de sua rede, se isto não for respeitado você pode se deparar com sérios problemas na autenticação dos usuários assim como na aplicação de GPOs e outras diretivas de segurança.

    O Controlador de Dominio deve ser, de preferencia, o catalogo global inclusive.

    Tirando esta pequena questão, assino embaixo dos comentários do Johnnybe e do JackL.



  • @LFCavalcanti:

    Apenas uma correção ao que o Johnnybe disse sobre a separação de serviços em servidores.

    Pelo menos um controladores de dominio baseado no Active Directory(Windows Server) deve ser o servidor DNS primário de sua rede, se isto não for respeitado você pode se deparar com sérios problemas na autenticação dos usuários assim como na aplicação de GPOs e outras diretivas de segurança.

    É isso mesmo o que eu disse LFCavalcanti! Assino em baixo e endosso!  ;D



  • Olá, Boa tarde.

    Apenas dando um depoimento…

    Tenho 2 servidores com Hyper-V (Windows 2012) com 5 interfaces de rede em casa um, e em cada um tenho 2 instalações de pfsense (em um deles tenho ainda um TMG instalado, em vias de aposentadoria...)... totalizando 5 firewall/proxy/varnish,DHCP,VPN, etc... e 4 links WAN.

    Fora as "pegadinhas" iniciais (utilizar placa de rede tipo Legacy e fixar o MAC delas), não tenho problemas no dia a dia...

    Qualquer duvida é só avisar !

    Abraços

    Alexandre Cury



  • Maninho,

    Excelente depoimento! Estava esperando algo parecido com o que você falou.

    E o funcionamento? 100%? Acho que vou acabar trabalhando dessa maneira em outra ocasião (claro, melhorando o poder de processamento das máquinas utilizadas).

    Ontem consegui comprar a estação, já instalei o pfSense 2.1 (só ele reconheceu as duas placas de rede com chipset Realtek).

    Falando nisso, o 2.1 funcionaria bem em produção? (fugindo um pouco do assunto do tópico).

    Obrigado senhores ;).


Log in to reply