ESXi VM でパブリック IP を取得するにはどうすればよいですか?

tag-icon tag-icon vmware-esxi routing ip virtual-machines address
ESXi VM でパブリック IP を取得するにはどうすればよいですか?

ホスティング プロバイダーと専用サーバーを所有しています。ESXi 6.0 を実行しています。サーバーには、現在管理インターフェイスに使用されている単一のパブリック IP があります。プロバイダーは、VM がパブリック IP を持つことができるように、/29 ブロックも割り当てています。使用できる物理 NIC は 1 つだけであり、これが問題の原因になっていると思います。

このブロックの IP のデフォルト ゲートウェイは、ESXi サーバーの IP に設定する必要があると言われています。これを構成しようとすると、VM はゲートウェイが異なるサブネットにあるとエラーを出しますが、実際はそうなのです。

ネットワークの構成方法により、割り当てられたブロックからのすべての IP を ESXi サーバーの IP 経由でルーティングする必要があると指摘されています。私の知る限り、ESXi はルーティングをサポートしていないため、これは不可能です。

このブロック (または単一の IP) をサーバーに割り当てて、ESXi IP と同じにして VM で使用できるようにできるかどうか尋ねましたが、ネットワーク設定ではこれが許可されていないと言われました。

理想的には、これらのパブリック IP を VM に割り当てて、インターネットから直接アクセスできるようにしたいと考えています。これを行う方法はありますか? 何か見落としているのでしょうか?

上記が不可能な場合、インターネットから VM にアクセスできるようにポート転送やその他の操作を実行する方法はありますか?

ESXi のネットワーク構成は変更していないため、管理ネットワークと VM ネットワークの両方が接続された単一の vSwitch のみが残っています。この vSwitch は、すべての IP が割り当てられているサーバー上の単一の物理 NIC に接続されています。

必要であれば、追加情報を提供させていただきます。

答え1

ホスティングプロバイダー (推測ですが、Hetzner でしょうか) は正しいです。

VMware サーバーの VMK インターフェイスに単一の静的 IP アドレスを割り当てる必要があります。これにより、VMware コンソール経由でサーバーに接続し、VM を作成できるようになります。

ホスティング プロバイダーは、/29 サブネットをサーバーの MAC アドレスにルーティングできる必要があります。

また、vSphere 内には、物理​​ネットワーク カードに接続された単一の vSwitch (個人的には、わかりやすくするためにこれを「パブリック」に名前変更します) が構成されます。

物理ネットワーク インターフェイスに接続されていない 2 番目の vSwitch (わかりやすくするために、「プライベート」と呼ぶことをお勧めします) を作成する必要があります。

これら2つのvSwitchが設定されると、各vSwitchに1つずつ、2つのvNICを持つ仮想マシンを作成できます。好きな「ルーター」OS(通常は次のようなもの)を使用してください。ipfireまたはペフセンス問題なく動作します) をインストールし、WAN (パブリック) と LAN (プライベート) vSwitch 間でパケットを NAT するように設定します。

/29 IP アドレスを使用するには、プライベート vSwitch に接続された VM を作成し、必要に応じて NAT ポート転送を行う必要があります。

答え2

本当に、本当にESXi 管理インターフェイスをインターネットに直接接続しないよう強くお勧めします。その場合、セキュリティ制御はパスワードのみとなり、これによって王国への完全な鍵が与えられます。

パブリック IP アドレスを持つルーターとして、pfsense や Untangle などの Unified Threat Manager (UTM) をインストールすることをお勧めします。ネットワークは次のようになります。

Internet ---> VSWitch1 ---> UTM ---> VSwitch2> --- Virtual Machines

どこ:

  • VSwitch1インターネットに面した実際のNICに接続されている
  • UTTMVSWitch1(パブリック29ビットIPアドレスの1つ)とVSwitch2(プライベートIPアドレス)に接続されています。
  • VSwitch2実際のNICに接続されていない
  • 仮想マシンすべて NIC に接続されており、プライベート IP アドレス (192.168.0.0/24 や 10.0.0.0/8 など) を持っています。

この構成では、UTM を使用して NAT を実行し、仮想マシンがインターネットにアクセスできるようにします (必要に応じてポート転送を使用してその逆も可能)。これらの UTM には、ファイアウォール機能、IPS 機能、およびネットワークを保護するための優れた機能がすべて備わっています。

ESXI アクセスの場合、プライベート ネットワークへの VPN を作成することをお勧めします。VMKernel をプライベート ネットワーク (192.168.0.101/24 など) に配置します。この方法では、VPN で認証し、すべてのトラフィックが暗号化されます。VPN は、私が言及した UTM の機能です。

さらに!ボーナス!無料でオープンソースです :-)

ESXI に直接インターネット アクセスする必要がある場合は、少なくとも ESXI とインターネットの間にファイアウォール/NAT を配置することをお勧めします。そうしないと、ESXi の [存在しない] セキュリティ機能に頼ることになります。

関連情報