Disponemos de un servidor dedicado con un proveedor de hosting. Estamos ejecutando ESXi 6.0. El servidor tiene una única IP pública que actualmente se utiliza para la interfaz de administración. El proveedor también nos ha asignado un bloque /29 para que nuestras VM puedan tener IP públicas. Solo podemos usar 1 NIC física, lo que creo que está causando algunos de los problemas.
Nos han dicho que la puerta de enlace predeterminada de las IP de este bloque debe configurarse en la IP del servidor ESXi. Cada vez que intentamos configurar esto, las máquinas virtuales se quejan diciendo que la puerta de enlace está en una subred diferente, y así es.
Han indicado que por la forma en que está configurada su red, necesitamos enrutar las IP del bloque que nos asignaron a través de la IP del servidor ESXi. Por lo que sé, ESXi no admite enrutamiento, lo que lo hace imposible.
Les preguntamos si pueden asignar este bloque (o incluso una sola IP) al servidor para que sean iguales a la IP de ESXi para que podamos usarlos en VM, pero nos dijeron que su configuración de red no lo permite. para esto.
Idealmente, queremos poder asignar estas IP públicas a nuestras máquinas virtuales para que sean accesibles directamente desde Internet. ¿Hay alguna forma de hacer esto? ¿Nos estamos perdiendo algo?
Si lo anterior no es posible, ¿hay alguna manera de que podamos reenviar puertos o cualquier otra cosa para que podamos acceder a nuestras máquinas virtuales desde Internet?
No hemos cambiado ninguna configuración de red en ESXi, por lo que todavía tenemos un solo vSwtich con la red de administración y la red VM conectadas a él. Este vSwitch está conectado a una única NIC física en el servidor, a la que están asignadas todas las IP.
Estaremos encantados de proporcionar cualquier información adicional si es necesario.
Respuesta1
Su proveedor de hosting (¿Hetzner, supongo?) tiene razón.
Deberá asignar la dirección IP estática única a la interfaz VMK de su servidor VMware. Esto le permitirá conectarse al servidor a través de la consola de VMware y crear máquinas virtuales.
Su proveedor de alojamiento debería poder enrutar su subred /29 a la dirección MAC del servidor.
También tendrá un único vSwitch (yo personalmente le cambiaría el nombre a "Público" por motivos de cordura) configurado dentro de vSphere, que está conectado a su tarjeta de red física.
Necesitará crear un segundo vSwitch (por razones de cordura, recomiendo llamarlo "Privado") que no esté conectado a ninguna interfaz de red física.
Una vez configurados estos dos vSwitches, puede crear una máquina virtual con dos vNIC, una en cada vSwitch. Utilice cualquier sistema operativo de "enrutador" que desee (normalmente algo comoipfireosentidopffuncionará bien) y configúrelo para paquetes NAT entre sus vSwitches WAN (público) y LAN (privado).
Para usar sus direcciones IP /29, deberá crear máquinas virtuales conectadas a su vSwitch privado y luego reenviar el puerto NAT según sea necesario.
Respuesta2
Realmente lo haría,en realidadLe recomendamos que no coloque su interfaz de administración de ESXi en Internet directamente. Tu único control de seguridad es entonces tu contraseña, que te proporciona las llaves completas del reino.
Le sugeriría que instale un Administrador unificado de amenazas (UTM) como pfsense o Untangle para que sea su enrutador con una dirección IP pública. Su red se vería así:
Internet ---> VSWitch1 ---> UTM ---> VSwitch2> --- Virtual Machines
Dónde:
- VSWitch1está conectado a una NIC real que mira a Internet
- UTMestá conectado a VSWitch1 (con una de sus direcciones IP públicas de 29 bits) y VSwitch2 (con una dirección IP privada)
- VSwitch2no está conectado a ninguna NIC real
- Maquinas virtualestodos están conectados a las NIC y tienen direcciones IP privadas (como 192.168.0.0/24 o 10.0.0.0/8)
Con esta configuración, utilizará UTM para realizar NAT para que sus máquinas virtuales tengan acceso a Internet (y viceversa utilizando el reenvío de puertos, cuando sea necesario). Estos UTM vienen con funciones de Firewall, funciones de IPS y todo lo bueno para proteger su red.
Para acceder a ESXI, te recomendaría que crearas una VPN para tu red privada. Coloque su VMKernel en la red privada (como 192.168.0.101/24). De esta manera, te autenticas con tu VPN y todo tu tráfico está encriptado. La VPN es una característica de los UTM que mencioné.
¡Más! ¡Prima! Son gratuitos y de código abierto :-)
Si debe tener acceso directo a Internet a su ESXI, aún recomendaría al menos colocar un firewall/NAT entre su ESXI e Internet; de lo contrario, quedará con las funciones de seguridad [inexistentes] de ESXi.