우리는 호스팅 제공업체와 함께 전용 서버를 운영하고 있습니다. 우리는 ESXi 6.0을 실행하고 있습니다. 서버에는 현재 관리 인터페이스에 사용되는 단일 공용 IP가 있습니다. 또한 공급자는 VM이 공용 IP를 가질 수 있도록 /29 블록을 할당했습니다. 물리적 NIC는 1개만 사용할 수 있는데, 이것이 일부 문제를 일으키는 것 같습니다.
그들은 이 블록에 있는 IP의 기본 게이트웨이가 ESXi 서버의 IP로 설정되어야 한다고 말했습니다. 이를 구성하려고 할 때마다 VM은 게이트웨이가 다른 서브넷에 있다고 불평합니다.
그들은 네트워크 구성 방식으로 인해 ESXi 서버의 IP를 통해 할당한 블록의 모든 IP를 라우팅해야 한다고 밝혔습니다. 내가 아는 바로는 ESXi는 라우팅을 지원하지 않으므로 이것이 불가능합니다.
우리는 이 블록(또는 단일 IP)을 서버에 할당하여 ESXi IP와 동일하게 하여 VM에서 사용할 수 있는지 물었지만 네트워크 설정에서는 허용되지 않는다고 말했습니다. 이를 위해.
이상적으로는 이러한 공용 IP를 VM에 할당하여 인터넷에서 직접 액세스할 수 있기를 원합니다. 이를 수행할 수 있는 방법이 있습니까? 뭔가 빠졌나요?
위의 방법이 가능하지 않은 경우 인터넷에서 VM에 연결할 수 있도록 포트 전달 등을 수행할 수 있는 방법이 있습니까?
ESXi에서는 네트워킹 구성을 변경하지 않았으므로 관리 네트워크와 VM 네트워크가 모두 연결된 단일 vSwtich만 남아 있습니다. 이 vSwitch는 모든 IP가 할당된 서버의 단일 물리적 NIC에 연결됩니다.
필요한 경우 추가 정보를 제공해 드리겠습니다.
답변1
귀하의 호스팅 제공업체(Hetzner라고 추측하시나요?)가 정확합니다.
VMware 서버의 VMK 인터페이스에 단일 고정 IP 주소를 할당해야 합니다. 그러면 VMware 콘솔을 통해 서버에 연결하고 VM을 생성할 수 있습니다.
호스팅 제공업체는 /29 서브넷을 서버의 MAC 주소로 라우팅할 수 있어야 합니다.
또한 물리적 네트워크 카드에 연결된 단일 vSwitch(개인적으로는 온전함을 위해 "공용"으로 이름을 바꾸겠습니다)가 vSphere 내에 구성되어 있습니다.
물리적 네트워크 인터페이스에 연결되지 않은 두 번째 vSwitch(안전을 위해 "개인"이라고 부르는 것이 좋습니다)를 생성해야 합니다.
이 두 개의 vSwitch가 설정되면 각 vSwitch에 하나씩 두 개의 vNIC가 있는 가상 머신을 생성할 수 있습니다. 원하는 "라우터" OS를 사용하세요(일반적으로 다음과 같습니다).IP파이어또는pfSense문제가 없음) WAN(공용)과 LAN(개인) vSwitch 사이의 NAT 패킷으로 구성합니다.
/29 IP 주소를 사용하려면 Private vSwitch에 연결된 VM을 생성한 다음 필요에 따라 NAT 포트 전달을 수행해야 합니다.
답변2
난 정말,정말ESXi 관리 인터페이스를 인터넷에 직접 연결하지 말 것을 권고합니다. 유일한 보안 통제 수단은 왕국의 전체 열쇠를 제공하는 비밀번호입니다.
공용 IP 주소가 있는 라우터로 pfsense 또는 Untangle과 같은 UTM(Unified Threat Manager)을 설치하는 것이 좋습니다. 네트워크는 다음과 같습니다.
Internet ---> VSWitch1 ---> UTM ---> VSwitch2> --- Virtual Machines
어디:
- VSWitch1인터넷에 연결된 실제 NIC에 연결되어 있습니다.
- UTMVSWitch1(공용 29비트 IP 주소 중 하나 사용) 및 VSwitch2(개인 IP 주소 사용)에 연결됩니다.
- VSwitch2실제 NIC에 연결되어 있지 않습니다.
- 가상 머신모두 NIC에 연결되어 있으며 개인 IP 주소(예: 192.168.0.0/24 또는 10.0.0.0/8)를 가지고 있습니다.
이 구성을 사용하면 가상 머신이 인터넷에 액세스할 수 있도록 UTM을 사용하여 NAT를 수행하게 됩니다(필요한 경우 포트 전달을 사용하여 그 반대로도 가능). 이러한 UTM에는 방화벽 기능, IPS 기능 및 네트워크를 보호하기 위한 모든 유용한 기능이 포함되어 있습니다.
ESXI 액세스의 경우 실제로 개인 네트워크에 VPN을 만드는 것이 좋습니다. VMKernel을 개인 네트워크(예: 192.168.0.101/24)에 배치합니다. 이렇게 하면 VPN으로 인증되고 모든 트래픽이 암호화됩니다. VPN은 제가 언급한 UTM의 기능입니다.
을 더한! 보너스! 무료이며 오픈 소스입니다 :-)
ESXI에 직접 인터넷으로 액세스해야 하는 경우에도 최소한 ESXI와 인터넷 사이에 방화벽/NAT를 설치하는 것이 좋습니다. 그렇지 않으면 ESXi의 [존재하지 않는] 보안 기능을 사용하게 됩니다.