Как получить общедоступного дюйм/с на ESXI VMs?
У нас есть выделенный сервер с поставщиком услуг хостинга. Мы выполняем ESXi 6.0. Сервер имеет единственный общедоступный IP, который в настоящее время используется для интерфейса управления. Поставщик также присвоил нам/29 блок, таким образом, наш VMs может иметь общедоступного дюйм/с. Мы можем только использовать 1 физический NIC, который я думаю, вызывает некоторые проблемы.
Они сказали нам, что шлюз по умолчанию дюйм/с от этого блока должен быть установлен на IP сервера ESXI. Каждый раз, когда мы пытаемся настроить это, VMs жалуются, говоря, что шлюз находится в другой подсети, которая это.
Они указали, что из-за пути их сеть настроена, мы должны направить любого дюйм/с от блока, который они присвоили нам через IP сервера ESXI. Из того, что я знаю, ESXI не поддерживает маршрутизацию, делая это невозможным.
Мы спросили, могут ли они присвоить этот блок (или даже единственный IP) к серверу так, чтобы они совпали с IP ESXI, таким образом, мы можем использовать их на VMs, но они сказали нам, что их настройка сети не допускает это.
Идеально, мы хотим смочь присвоить их общедоступный дюйм/с нашему VMs так, чтобы они были непосредственно доступны из Интернета. Существует ли способ сделать это? Мы пропускаем что-то?
Если вышеупомянутое не возможно, там способ для нас сделать перенаправление портов/что-либо еще, так, чтобы мы могли достигнуть нашего VMs из Интернета?
Мы не изменили сетевой конфигурации в ESXI, таким образом, у нас все еще есть просто единственный vSwtich и с сетью управления и с сетью VM, присоединенной к нему. Этот vSwitch присоединен к единственному физическому NIC на сервере, которому всему дюйм/с присвоены.
Счастливый предоставить любую дополнительную информацию в случае необходимости.
Ваш хостинг-провайдер (Hetzner, как вы думаете?) Верен.
Вам нужно будет назначить единственный статический IP-адрес интерфейсу VMK вашего сервера VMware. Это позволит вам подключиться к серверу через консоль VMware и создать виртуальные машины.
Ваш хостинг-провайдер должен иметь возможность маршрутизировать вашу подсеть / 29 на MAC-адрес сервера.
У вас также будет один vSwitch (I лично переименовал бы его в "Public" для разумности), настроенный в vSphere, который подключен к вашей физической сетевой карте.
Вам нужно будет создать второй vSwitch (для разумности я рекомендую называть его "Private"), который не подключены к любым физическим сетевым интерфейсам.
После настройки этих двух vSwitch вы можете создать виртуальную машину с двумя vNIC - по одному в каждом vSwitch. Используйте любую ОС «маршрутизатора», которая вам нравится (обычно что-то вроде ipfire или pfSense подойдет), и настройте ее на пакеты NAT между вашими WAN (общедоступная) и LAN (частная) vSwitches .
Чтобы использовать IP-адреса / 29, вам нужно будет создать виртуальные машины, подключенные к вашему частному vSwitch, а затем при необходимости выполнить переадресацию портов NAT.
Я бы действительно, действительно убедил вас не размещать свой интерфейс управления ESXi напрямую в Интернете. Тогда ваш единственный контроль безопасности - это ваш пароль, который дает вам полные ключи от королевства.
Я бы посоветовал вам установить Unified Threat Manager (UTM), например pfsense или Untangle, в качестве маршрутизатора с общедоступным IP-адресом. Ваша сеть будет выглядеть так:
Internet ---> VSWitch1 ---> UTM ---> VSwitch2> --- Virtual Machines
Где:
- VSWitch1 подключен к реальной сетевой карте, обращенной к Интернету
- UTM подключен к VSWitch1 (с одним из ваших общедоступных 29-битных IP-адресов. адреса) и VSwitch2 (с частным IP-адресом)
- VSwitch2 не подключен ни к каким реальным сетевым адаптерам
- Виртуальные машины все подключены к сетевым адаптерам и имеют частные IP-адреса (например, 192.168.0.0/24 или 10.0.0.0/8)
В этой конфигурации вы будете использовать UTM для выполнения NAT, чтобы ваши виртуальные машины имели доступ к Интернету (и, наоборот, с помощью переадресации портов, если это необходимо). Эти UTM поставляются с функциями брандмауэра, функциями IPS и всем необходимым для защиты вашей сети.
Для доступа к ESXI я бы действительно рекомендовал вам сделать VPN для вашей частной сети. Поместите VMKernel в частную сеть (например, 192.168.0.101/24). Таким образом, вы аутентифицируетесь с помощью своей VPN, и весь ваш трафик зашифровывается. VPN - это функция UTM, о которой я упоминал.
Плюс! Бонус! Они бесплатны и имеют открытый исходный код: -)
Если у вас должен быть прямой доступ в Интернет к вашему ESXI - я бы все равно рекомендовал хотя бы установить брандмауэр / NAT между вашим ESXI и Интернетом, иначе вам придется [Несуществующие] функции безопасности ESXi.