Как пробросить компьютер для гостевой ос в hyper-v?

Question

[PyNen]

Я прочитал, что весь линукс экранированной вм можно запустить на отдельной машине. Т. Е. Windows на главной ос (хостовой) на первом пк, а гостевая ос - на другом. Но это только заголовок) так наверно тоже можно. И hyper-v гибридного типа, что утверждает это высказывание. Не адекватно: брендмауер на каком пк работает? Это windows server

Comments

[Максим]

Очень сложно вы пишете. Если я правильно понял часть вопроса, то нет, брендмауэр винды не блокирует трафик на гостевой ОС.

[PyNen]

Максим, Как запустить виртуальную машину (защищенную опускаем) на другом пк? Хостовая ос на одном пк, а гостевая - на другом. Это весь смысл. Все остальное пояснение.

[АртемЪ]

PyNen Постарайтесь выразить свою мысль понятным языком.
В данный момент все написанное вами не имеет смысла - просто несвязанный бред.

[Poleno]

Какой-то поток сознания.

[CityCat4]

А я уже подуммал - что все, прошла днюха, я резко поглупел... Потому что читаю - вроде слова знакомые, а смысла нет...

Answer 1

[Diman89]

Гостевая ос на другом пк автоматически станет для этого пк хостовой

Comments

[PyNen]

Ловко понимаешь игру слов, тех. Поддержка microsoft слабая по теме гипер-в. Они не знают, как пробросьть диск в вм. А на другом сайте той же тех поддержки они и описали эту технологию. А на вопрос не ответили кому-то.

Answer 2

[vvmtutby]

"брендмауер на каком пк работает?"

Если кратко, то: встроенный firewall работает на "виртуальной машине номер 0"
Это "из той же оперы", что и загрузка CPU в Task Manager

Для защиты же конкретной группы VM ( от 1 шт. до N шт.) в отдельной VM с 2-3 VLAN развёртываем ПО а-ля MS TMG Server.

(
Не затруднит отредактировать заголовок?
"Как пробросить компьютер для гостевой ос в hyper-v?"
)

==

Есть предложение начать редактировать текст вопроса:

Я прочитал, что весь линукс экранированной вм можно запустить на отдельной машине.
Т. Е. Windows на главной ос (хостовой) на первом пк, а гостевая ос - на другом.
Но это только заголовок) так наверно тоже можно.
И hyper-v гибридного типа, что утверждает это высказывание.
Не адекватно: брендмауер на каком пк работает? Это windows server

Выкидываем декоративные элементы:

Используется Hyper-V , OS Windows Server 2019 ( VVM: или 2016? 2012 R2? Это принципиально )
( на 2019-11-11: OS Windows Server 2019 или Windows 10 -- точно)

Linux ( VVM: какой? RHEL? SUSE? Или? ) необходимо запустить внутри экранированной VM ( shielded VM) , запустить на отдельной "физической" машине ( host-е "номер 2" ) .

Т. Е. Windows на главной ос (хостовой) на первом пк, а гостевая ос - на другом.

Такая схема?

(           )
(    Inet     )
 (           )
      !
      !           +=== Hardware PC N1 , OS Windows Server 2019 , Hyper-V ===============
      !           |
      !           |
      +-----------@ LANcard N2
                  |
                  |
      +-----------@ LANcard N1
      !           |
      !           +==================
      !           
      !           
      !           +=== Hardware SWITH ===============
      !           |
      +-----------@
                  |
                  |
      +-----------@
      !           |
      !           +==================
      !           
      !           
      !           
      !           
      !           +=== Hardware PC N2 , OS Windows Server 2019 , Hyper-V ===============
      !           |
      !           |  +=== VM, OS Linux ==
      !           |  |
      !           |  +===================
      !           |
      !           |
      !           |
      !-----------@ LANcard
                  |
                  |
                  |
                  |
                  +==================

Вносите уточнения, пожалуйста

P.S. GNS3 ( м.б. EVE-NG, но с ним я знаком меньше ) , как средство моделирования Вам подходит?

Comments

[PyNen]

Это не из той оперы. У него функции другие. Я ищу не замену брэндмауэру Windows, а способ, как его использовать, работая за другим компьютером. Нужно, чтобы брэндмауэру работал на втором ПК, а на первом была бы загрузка с виртуальной машины.
https://www.anti-malware.ru/node/16486. TMG устарел.
Дайте, пожалуйста, другой пример.

[vvmtutby]

( Пожалуй буду отвечать "step by step")

} TMG устарел.

Внимательнее читайте статью...

TMG "снятый с производства продукт":

В сентябре 2012 года компания Microsoft решила уйти с высококонкурентного рынка межсетевых экранов, то есть свернуть разработку Forefront Threat Management Gateway 2010 (сокращенно Microsoft TMG
. . .
Microsoft объявила о прекращении дальнейшей разработки и продажи Forefront TMG

[vvmtutby]

PyNen say:

} Дайте, пожалуйста, другой пример.

MS Forefront TMG мечтают ( т.е. частично способны) заменить:
из левого верхнего квадрата C. и J. , из правого верхнего F.

На мой взгляд, полноценной заменой может послужить CP

[vvmtutby]

Я ищу не замену брэндмауэру Windows, а способ, как его использовать, работая за другим компьютером.

На мой взгляд, такого способа нет.

Т.к. разновидность firewall от MS для защиты других комп-ов это MS TMG Server
( и его вариант MS ISA Server, но он под Win Server 2003)

Для запуска MS TMG Server требуется OS Win Server 2008 R2

==

Есть предложение начать редактировать текст вопроса:

Я прочитал, что весь линукс экранированной вм можно запустить на отдельной машине.
Т. Е. Windows на главной ос (хостовой) на первом пк, а гостевая ос - на другом.
Но это только заголовок) так наверно тоже можно.
И hyper-v гибридного типа, что утверждает это высказывание.
Не адекватно: брендмауер на каком пк работает? Это windows server

Выкидываем декоративные элементы:

Используется Hyper-V , OS Windows Server 2019 ( VVM: или 2016? 2012 R2? Это принципиально )

Linux ( VVM: какой? RHEL? SUSE? Или? ) необходимо запустить внутри экранированной VM ( shielded VM) , запустить на отдельной "физической" машине ( host-е "номер 2" ) .

Т. Е. Windows на главной ос (хостовой) на первом пк, а гостевая ос - на другом.

Такая схема?

(           )
(    Inet     )
 (           )
      !
      !           +=== Hardware PC N1 , OS Windows Server 2019 , Hyper-V ===============
      !           |
      !           |
      +-----------@ LANcard N2
                  |
                  |
      +-----------@ LANcard N1
      !           |
      !           +==================
      !           
      !           
      !           +=== Hardware SWITH ===============
      !           |
      +-----------@
                  |
                  |
      +-----------@
      !           |
      !           +==================
      !           
      !           
      !           
      !           
      !           +=== Hardware PC N2 , OS Windows Server 2019 , Hyper-V ===============
      !           |
      !           |  +=== VM, OS Linux ==
      !           |  |
      !           |  +===================
      !           |
      !           |
      !           |
      !-----------@ LANcard
                  |
                  |
                  |
                  |
                  +==================

Вносите уточнения, пожалуйста

P.S. GNS3 ( м.б. EVE-NG, но с ним я знаком меньше ) , как средство моделирования Вам подходит?

[PyNen]

Схему реально не понял. На одном пк должна быть ос. На другом автозапуск с виртуальной машины. Такой автозапуск не безопасен. В вм, естественно, вторая ос. Это на счёт схемы.
Хардвары две.
А на счёт продукта мне бы не маршрутизацию трафика, а средство экранирования вм с ос. Пусть даже дебиан или астра линукс, потому что у них есть tmpfs.
Про технологию экранирования здесь Как настроить экранирование виртуальной машины для Hyper-V в Windows 10 pro? ответ написал Сергей Галактионов.

[PyNen]

vvmtutby, и ос должна быть именно winserv 2019 или win10

[vvmtutby]

} Схему реально не понял.

Схема -- просто пример: Вы задаёте вопрос, поэтому и схему лучше начертить Вам

}ос должна быть именно winserv 2019 или win10

Ok, внёс уточнение в описание схемы-черновика ( той что "от меня")

} А на счёт продукта мне бы ... средство экранирования вм с ос.

Т.е. технология Shielded VM устраивает?

ответ написал Сергей Галактионов:
Для реализации функционала Shielded VM в режиме Remote Attestation
Вам понадобиться инфраструктура Host Guardian Service,
но в режиме Local Attestation Вы вполне можете "зашилдовать" машину.
Но также если хотите использовать Volume Signature Catalog и Signed Template диски,

Забавно, всего 2 физических комп-а и уже есть в наличии "пользователь, имеющий доступ к физической" инфраструктуре, от которого надо защищаться ...

} от чего конкретно вы хотите защищаться?

"Вот в чём вопрос..."

== == ==
И ещё sub-вопрос:

Ваше сетевое оборудование поддерживает VLAN ?

2019-11-25:

На social.technet.microsoft.com "история успеха":

On Hyper-V machine, multiple VLAN trunked, with on...

[PyNen]

vvmtutby, это требование. Да.

[PyNen]

Про поддержку сетевого оборудования.
В общем надо сначала написать ТЗ, а потом его покупать.

[vvmtutby]

} Задам ещё несколько вопросов в разном содержании.

Давайте здесь оставим тематику LAN

( а "Shielded VM" -- в соседнем вопросе)

== == ==

} Про поддержку сетевого оборудования.
} В общем надо сначала написать ТЗ, а потом его покупать.

Здесь, скорее, вопрос финансов

можно посмотреть модели L3-switches из решений для Azure Stack

[PyNen]

vvmtutby, и как тогда это реализуется, если пока нет достойных предложений по ПО? TMG, извините, не вариант. Я не видел функции в описании к нему, "типа" экранирования.

[vvmtutby]

} TMG, извините, не вариант.

Команда TMG ушла в подразделение Наджелы.
"Экранирование" -- их рук дело ( с большой вероятностью)

Внутри датацентра Azure Stack ( и "самодельно собранный" аналог) защищается встроенными средствами

== == ==

PyNen, У Вас точно задача не "для дома/семьи"?

[PyNen]

vvmtutby, не для "дома". Для себя и офиса пока нет

[PyNen]

Я давно его не открывал. Сейчас перерегистрирую.