Virtual Private Cloud

[aeigb 11]

Hallo Boardianer,

 

ich habe folgende Anfrage auf den Tisch bekommen:

ein paar freischaffende Menschen haben zur Zeit ein Büro, in dem ein Server steht, der 2 VMs beherbergt: einen File- und Datenbankserver, der auch AD macht (Server1) sowie einen TerminalServer (Server2), auf dem die Programme liegen und der auf die Daten von Server1 zugreift.

 

Nun sind diese Leute praktisch nie im Büro und wollen deshalb den Mietvertrag kündigen. Aber natürlich sollen die Server als solches irgendwie weiterbetrieben werden.

 

Deshalb die Frage:

wie kann ich diese zwei Server ins Internet verlagern, so dass "nur" die Remotedesktop-Ports beider Server nach außen frei sind, aber zwischen diesen beiden Servern praktisch alles auf ist, damit die Dateifreigabe, die SQL-Datenbank etc weiterhin funktioniert? Gibt es da einfache Lösungen von Strato, 1&1 etc?

 

Den Zugriff per Remotedesktop sichern wir zusätzlich mit 2-Faktor-Authentifizierung (OneTimePassword auf dem Handy) ab, da sollte keine Gefahr bestehen.

[testperson 1.674]

Hi,

 

ja sowas gibt es. Vermutlich auch bei Strato und / oder 1und1.

 

Gruß

Jan

 

P.S.: Auch mit 2-Faktor-Auth würde ich RDP nicht direkt ins WAN hängen.

[djmaker 95]

Eventuell kannst Du in einem RZ Rackspace mieten und dort die Server unterbringen. Stelle eine gescheite Firewall davor und richte VPN-Zugänge ein. Fertig.

[testperson 1.674]

Eventuell kannst Du in einem RZ Rackspace mieten und dort die Server unterbringen. Stelle eine gescheite Firewall davor und richte VPN-Zugänge ein. Fertig.

 

Da gibt es aber auch noch einiges mehr zu beachten. Das hört sich jetzt ein wenig zu einfach an ;)

[djmaker 95]

Da gibt es aber auch noch einiges mehr zu beachten. Das hört sich jetzt ein wenig zu einfach an ;)

 

Was genau? Es ist gemieteter Serverraum mit vereinbarten SLA bzgl Verfügbarkeit des RZ und des Internets.

[testperson 1.674]

"Gemietet" wäre unter anderem schonmal ein gutes Stichwort zur Lizenzierung.

[peter999 24]

Die Lizensierung ist doch jetzt auch gegeben, hoffentlich. Gemieteter Rackspace braucht dann auch keine anderen Lizenzen, es geht ja nicht um IaaS oder SaaS, sondern um Housing.

[djmaker 95]

Die Lizenzierungsfrage stellt sich bei den aktuellen physischen Servern sowieso. Ich setzte voraus das dies sauber geregelt ist. Beim Beispiel Housing ändert sich da nichts.

[Dr.Melzer 191]

Wartet doch mal ab für welche Option sich aeigb entscheidet. Wenn wir das wissen können wir uns Gedanken dazu machen wie er das lizenzieren muss. Aber zuerst sollten wir und darauf fokussieren ihm bei seinem eigentlichen Anliegen zu unterstützen. ;-)

[aeigb 11]

Hallo an alle,

 

danke für die vielen Rückmeldungen. Es scheint wohl nicht ganz so einfach zu sein wie erhofft.

 

Mit der Trennung der Daten vom TerminalServer erhoffe ich mir ein höheres Maß an Sicherheit. Natürlich kann ich den jetzigen Server mittels Housing ins Rechenzentrum stellen, dann sind auch die Lizenzierung "einfacher", weil alles dem Kunden ist und die Lizenzen können wie bisher gekauft oder mittels Office365 bezogen werden.

 

Da der jetzige Server aber bereits 3,5 Jahre alt ist würde mich die andere Variante auch brennend interessieren, wie ich eine VPC erstellen kann. Ich muss, soweit bin ich mir bewusst, SPLA-Lizenzen über den Hoster beziehen, aber die "Abschottung" meines Datenservers vom Rest des Internets mithilfe einer separaten Firewall erscheint mir ein "Sonderfall" zu sein, den die großen Anbieter nicht vorsehen, oder hab ich da was übersehen?

 

Welche Anbieter kennt Ihr bzw. wen würdet Ihr nehmen, wenn Ihr eine solche Lösung machen umsetzen wolltet?

[testperson 1.674]

Hi,

 

das dürfte sich so pauschal nicht beantworten lassen. "Ein Anbieter" könnte dir z.B. eine entsprechende Managementoberfläche bereitstellen wo du dann z.B. eine eigene VM als Firewall aufsetzen könntest. Evtl. hat "ein Anbieter" aber auch vorgefertigte Firewalls als Template / Managed-Service, die du nutzen könntest.

Diese Firewall wird dann je nach "ein Anbiter" verwaltbar sein und als einziges Device (vorerst) direkt aus dem WAN erreichbar sein. Was du dann an weiteren VMs o.ä. in diesem Netz betreibts oder einrichtest bleibt dir überlassen bzw. kommt drauf an was "ein Anbiter" da alles anbietet.

 

Ohne wirkliche Details bzw. Anforderungen zu kennen, dürfte es äußerst schwer werden mit Empfehlungen. Wir betreiben so etwas "im Kleinen" bei Wortmann im RZ und etwas größer bzw. "Full-Managed" bei der DATEV im RZ. Von daher sind wir natürlich der beste Anbieter den ich präferieren würde ;)

 

Gruß

Jan

[peter999 24]

Hallo,

 

entweder versteh ich nicht genau was du vorhast, oder... Aber in der von uns genutzten Terra Cloud (Wortmann) gibt es bei jedem gemieteten Modell eine virtuelle "eigene" Firewall (Securepoint) obendrauf.

Eigene externe IP., Firewall, Dein Server - VPNs oder RDP mit Zertifikaten, wie auch immer du willst.

 

Gruß

Peter