Vai al contenuto

VM su ESX utilizzate come workstation per sviluppo

Creazione di una nuova VM

Templates Windows 11 professional for workstations 64BIT:

  • TMPL-ESX-WIN11-CRYPT (versione con disco cifrato e TPM device)
  • TMPL-ESX-WIN11-NOCRYPT (versione con disco NON cifrato e senza TPM device). Preferibile in quanto più performante e più semplice da manutenere (Es: backup)

Impostazioni VMware:

  • nome DEV-XXXXXX (max 15 caratteri).
  • Directory: DEV
  • nelle opzioni CPU attivare la nested virtualization
  • rete CLIENT (104)

Configurazione VM

Rete e utenti:

  • Nella procedura guidata scegliere come nome della macchina Windows lo stesso nome della VM in VMWare
  • Windows prenderà automaticamente un indirizzo dalla rete 104.
  • Creare la riserva DHCP su entrambi i domain controllers
  • Nel setup della rete scegliere "accesso ad una rete aziendale" un indicare un nome utente e una password qualsiasi (andrà cancellato in seguito).
  • uscire e rientrare con utente: qntlocadm (pwd su secrets. cercare TMPL-ESX-WIN11)
  • Cancellare utente temporaneo creato precedentemente. Attenzione: verificare che sia davvero cancellato con lusrmgr.msc
  • Inserire la VM nel dominio QNTDEV.COM. Alla richiesta di aggiungere un utente premere "ignora"
  • Utilizzando lusrmgr.msc inserire l'utente AD che userà la VM nel gruppo "Administrators" della macchina locale (NON il gruppo AD!) se vogliamo che installi autonomamente il software.
  • Riavviare

Disco dati:

  • Creare disco dati da 30Gb thin (Dependent). Conterrà il workspace di sviluppo.
  • Volume label: DATA
  • Erroneamente windows11 lo vedrà come disco removibile e la policy di dominio negherà l'accesso ai non amministratori. Per risolvere è necessario impostare il seguente parametro nelle opzioni avanzate della VM: devices.hotplug = FALSE

Da windows:

  • Firewall windows -> avanzate. Default allow sia in entrata che uscita
  • installare Avast Antivirus Agent (gruppo "client sviluppo", policy "devwk sede")
  • Opzioni risparmio energetico: performance

Configurazione firewall perimetrale ufficio

Connessione VPN dall'utente verso la VM

Assicurarsi che nel firewall sia configurato:

  • Configurazione gateway per l'utente con indirizzo IP della VM inserito nella sezione "split tunnel"
  • Security policy che garantisca il raggiungimento della VM nella zona "CLIENT" per il solo protocollo RDP

Connessioni in uscita dalla VM

Verso IP Application Port
GitLab 192.168.103.240/32 git,ssl,web-browsing Default
SVN TeamCity 192.168.103.134/32 TCP 3691
SQL sviluppo 192.168.103.111/32 mssql-db Default

Se la VM è destinata a sviluppatori esterni:

  • Deve essere impedito l'accesso a internet tramite regola di deny verso le WAN
  • Deve essere inserita la VM nelle policies:
  • OFF-WKS-TO-DEV-UPDATES: garantisce uscita verso siti utilizzati per lo sviluppo e aggiornamenti degli strumenti di sviluppo
  • OFF-WKS-TO-MS-UPDATES: garantisce gli aggiornamenti Microsoft

Connessioni in entrata verso la VM

Da Application Port
VPN GlobalProtect ufficio RDP 3389

Configurazione RDP

La conessione RDP deve essere comunque limitata ai soli utenti autorizzati.

Per le connessioni che arrivano da VPN Palo Alto, il filtro avviene tramite le policies del firewall stesso.

Per le connessioni provenienti dagli altri PC della rete 104, il filtro avviene tramite filtri impostati sul pannello di controllo di windows

Backup

  • inserire la VM nel backup Veeam