Ограничьте гостей ESXI одним общедоступным IP
Я царапал голову по этой проблеме прошлые несколько недель. Я искал, но не могу найти ответ, который я хочу. Возможно, я просто плох при поиске все же. В любом случае любая обратная связь по этой проблеме приветствуется.
Я выполняю ESXi 5.5 (свободный) с пятью гостями (больше для прибытия в будущее). У меня есть шесть общедоступных интернет-IP-адресов, которые направляются к физическому порту, на котором подключен мой сервер.
То, чего я хочу достигнуть, является этой установкой:
- Хост имеет IP-адрес X.Y.Z.10
- У гостя A есть IP-адрес X.Y.Z.11
- У гостя B есть IP-адрес X.Y.Z.12
- У гостя C есть IP-адрес X.Y.Z.13
- У гостя D есть IP-адрес X.Y.Z.14
- У гостя E есть IP-адрес X.Y.Z.15
В настоящее время это достигается путем конфигурирования IP вручную на каждом госте. Однако я хочу лишить возможности Гостя C хватать адрес Гостя B путем изменения гостевой конфигурации сети. X.Y.Z.12 должен быть доступен Гостю B только. У локального администратора каждого гостя должен быть корневой доступ к его собственной машине.
Действительно ли это возможно с одним только ESXI, или я должен направить весь трафик через VM, работающий pfsense, iptables или подобный? В настоящее время нет никакого брандмауэра между хост-машиной и Интернетом.
Заранее спасибо.
Править: Разъяснить ситуацию...
Я купил свой собственный сервер, и я затем поместил его в serverhall в соответствии с соглашением соразмещения. В соглашении я также купил в общей сложности шесть IP-адресов. Сам сервер имеет два физических порта Ethernet, хотя только один подключен к физическому коммутатору. IP связывается с моим портом физического коммутатора, таким образом что-либо на моей стороне, которая изображает из себя IP X, получит тот IP, если это будет иметь смысл.
Гости выполняют различные ароматы Linux, главным образом Debian. Так как это - мой собственный сервер, ресурсы не являются проблемой. Дополнительный VM's может быть поднят в любое время.
Я понимаю, что корневые администраторы гостя, OS может отредактировать сетевые файлы, но даже если они могут, я не хочу, чтобы они были успешны. То, что это означает, - то, что, если они изменяют свою конфигурацию сети, она не должна работать, потому что у них только есть один из IP, присвоил их виртуальному nic, не всем им.
Отредактируйте 2 Текущих конфигурации после установки VyOS (см. комментарии),
Я решил это, установив VyOS на виртуальную машину, выступающую в качестве шлюза. . У машины был один интерфейс, подключенный к Интернет-коммутатору (в ESXi (vSwitch0)), а затем по одному интерфейсу на клиентскую машину (подключенный к их собственному отдельному коммутатору). Затем я установил частную сеть на каждом клиентском интерфейсе (используя диапазон 10.0.0.0/8) и запустил NAT 1-1, чтобы общедоступные IP-адреса пересылались внутреннему клиенту.
Используемые шаги для выполнения NAT 1-1 все описано в официальной документации здесь: http://vyos.net/wiki/User_Guide#1-to-1_NAT
Хотя эта настройка не совсем то, что я хотел вначале (я хотел, чтобы клиенты могли устанавливать общедоступные IP-адреса непосредственно на своих сетевых адаптерах), она действительно обеспечивает нужную мне функциональность, не позволяя клиентам захватывать другие IP-адреса, кроме назначенные им.