fragen stichworte

ESXi hinter der virtuellen Maschine

Nur als Folgemaßnahme zu meiner -Frage: Ich habe einen ESXi-Server, den ich in eine Colocation-Einrichtung umlege, die mir eine einzige IP-Adresse liefert. Ich denke, ich gehe auf den Weg, eine VM einzurichten, die als mein Router für die Gast-VMs fungiert, und ich denke, das ist alles eine Sauce. Mein Anliegen ist jetzt der Zugriff auf den VMWare-Client, um neue virtuelle Maschinen zu konfigurieren. Das macht in meinem Kopf keinen Sinn, aber:

Kann sich mein ESXi-Host auch hinter diesem VM-Router befinden?

Oder benötigt mein Setup 2 IP-Adressen von meiner Colocation-Einrichtung? Eine IP-Adresse für die Konfiguration meiner VMs (der ESXi-Host direkt) und eine weitere, um die Gast-VMs zu treffen.

Nur um zu sehen, wo ich herkomme, falls meine Frage nicht klar ist: Der aktuelle ESXi-Host verfügt über eine IP-Adresse von 10.0.0.102. Die VMs beginnen bei 10.0.0.103 und gehen nach oben. Und beide befinden sich hinter einem physischen Router mit einer internen Adresse von 10.0.0.1 und einem externen von etwas wie 98.x.x.x. Kann ich einen VM-Gast einrichten, der in den 98.x.x.x - und den 10.0.0.x -Netzwerken dualhomed ist, um den Verkehr für mich zu routen UND auf meinen VM-Host unter 10.0.0.102 zuzugreifen?

antworten

(Dritte Umschreibung)

Sie können Teile davon machen.

Sie können zwei virtuelle Switches auf Ihrem ESXi-System definieren. Rufen Sie ein "internal" für den 10.x.x.x-Kram und ein "external" für die Ihnen zugewiesene 98.x.x.x-Adresse an.

Verbinden Sie einen physischen Ethernet-Port mit dem "externen" vswitch.

Definieren Sie eine Firewall-VM mit zwei Ethernet-Geräten. Schließen Sie einen an den "externen" vswitch an und weisen Sie der Schnittstelle die IP-Adresse 98.x.x.x zu, die Sie erhalten haben. Verbinden Sie das zweite Ethernet-Gerät der Firewall-VM mit dem "internen" Switch und weisen Sie ihm eine IP-Adresse im 10.x.x.x-Subnetz zu. Dies wird letztendlich der Standardrouter für alle anderen VMs in der Box.

Jede andere VM, die Sie erstellen, sollte zum "internen" vswitch mit einem 10.x.x.x-Subnetz hinzugefügt werden und die 10.x.x.x-IP der Firewall als Standardrouter verwenden.

Fügen Sie dem "internen" vswitch die ESXi-Verwaltungsschnittstelle mit einem 10.x.x.x-Subnetz hinzu und verwenden Sie die 10.x.x.x-IP der Firewall als Standardrouter.

Konfigurieren Sie die Firewall für den NAT-Verkehr von intern nach extern. Dadurch können die internen VMs mit dem Internet kommunizieren.

Nun kann das Internet jetzt nicht mehr mit ihnen sprechen (z. B. wenn Sie einen Webserver im 10.xxx-Subnetz hatten), da das Internet nichts über Ihr 10.xxx-Subnetz weiß und Pakete daher niemals erstellt werden zu Ihren internen VMs. Außerdem haben Sie wahrscheinlich die Firewall so konfiguriert, dass die Pakete auch dann gelöscht werden, wenn sie an Ihr System gelangen. Sie können Ihre VMs also nicht über das Internet "routen".

Sie möchten wahrscheinlich eine oder beide der folgenden Aktionen ausführen:

  • Richten Sie einen oder mehrere Portweiterleitungen auf der externen Schnittstelle der Firewall-VM ein, um eingehenden Datenverkehr an eine bestimmte VM zurückzuleiten. So würden Sie zum Beispiel Port 80 der externen Schnittstelle Ihrer Firewall zurück zu Ihrer Webserver-VM und Port-Forward Port 981 (möglicherweise etwas anderes, siehe Handbuch) zurück zur Verwaltungsschnittstelle Ihres ESXi-Servers.

und/oder

  • Richten Sie ein VPN von überall her auf die Firewall-VM ein und leiten Sie den Datenverkehr direkt in das "interne" Netzwerk.

Wenn Sie über zwei physische Schnittstellen verfügen, können Sie zu Setup-Zwecken die zweite physische Schnittstelle zum "internen" vswitch hinzufügen. Das bedeutet, wenn Sie physischen Zugriff auf das System haben, können Sie einen Laptop (wahrscheinlich über ein Crossover-Kabel) direkt in das "interne" Netzwerk einstecken und die Dinge direkt konfigurieren. Dies gibt Ihnen auch einen Notfallzugang, falls die Firewall-VM aus irgendeinem Grund stirbt.