是否应该允许虚拟化主机运行任何服务？

我最近为正在运营的小型公司设置了虚拟化服务器。该服务器运行的虚拟机很少用于开发，测试等。

我的业务伙伴在远程位置工作，因此我还在虚拟化主机上安装了vpn服务器，以使他可以安全地访问公司服务。此外，再次在虚拟化主机上，我安装了bacula以执行数据备份。

这样做是明智的/良好的做法，还是应该再创建一个虚拟机来进行备份和VPN？在主机本身上运行这些服务不是一个好主意吗？如果是，为什么？

虚拟化主机应该是您拥有的最安全的计算机。最安全的机器是根本没有连接到网络的机器；-)

请记住，最好不要在您的公共接口上提供任何服务。您甚至不应该在那儿有IP（虚拟机的桥梁是第2层）。

将VM主机视为DMZ：禁止向其传输流量，这毫无问题。

因此，在您的示例中：

• VNC：错误-这是一项传入服务
• 备份：没问题-会话从此处发起到外部

但是，即使那样-您应该只运行不会耗尽VM主机上的RAM / CPU / IO的服务-否则您的VM将遭受资源不足的困扰。

我建议将VPN功能分离到基于硬件的防火墙或单独的设备上。例如，如果服务器关闭，会发生什么？

但是，取而代之的是，可以将现有的虚拟化主机用作VPN的终点。备份也不一定是问题。

这听起来像一个小的设置（您使用的是哪种类型的硬件？），但是如果您要询问，也许您有保留吗？您为什么认为这可能不是一个好主意？