Temos um servidor dedicado com um provedor de hospedagem. Estamos executando o ESXi 6.0. O servidor possui um único IP público que está sendo usado atualmente para a interface de gerenciamento. O provedor também nos atribuiu um bloco /29 para que nossas VMs possam ter IPs públicos. Só podemos usar 1 NIC física, o que acho que está causando alguns dos problemas.
Eles nos disseram que o gateway padrão dos IPs deste bloco deve ser configurado para o IP do servidor ESXi. Sempre que tentamos configurar isso, as VMs reclamam dizendo que o gateway está em uma sub-rede diferente, e realmente está.
Eles indicaram que devido à forma como sua rede está configurada, precisamos rotear quaisquer IPs do bloco que eles nos atribuíram através do IP do servidor ESXi. Pelo que sei, o ESXi não suporta roteamento, tornando isso impossível.
Perguntamos se eles podem atribuir este bloco (ou mesmo um único IP) ao servidor para que sejam iguais ao IP ESXi para que possamos usá-los em VMs, mas eles nos disseram que sua configuração de rede não permite por esta.
Idealmente, queremos poder atribuir esses IPs públicos às nossas VMs para que possam ser acessados diretamente pela Internet. Existe uma maneira de fazer isso? Estamos faltando alguma coisa?
Se o acima não for possível, existe uma maneira de fazermos o encaminhamento de porta/qualquer outra coisa, para que possamos acessar nossas VMs pela Internet?
Não alteramos nenhuma configuração de rede no ESXi, portanto, ainda temos apenas um único vSwtich com a rede de gerenciamento e a rede VM conectadas a ele. Este vSwitch é conectado a uma única NIC física no servidor, à qual todos os IPs são atribuídos.
Será um prazer fornecer qualquer informação adicional, se necessário.
Responder1
Seu provedor de hospedagem (Hetzner, acho?) Está correto.
Você precisará atribuir o endereço IP estático único à interface VMK do seu servidor VMware. Isso permitirá que você se conecte ao servidor por meio do console VMware e crie VMs.
Seu provedor de hospedagem deve ser capaz de rotear sua sub-rede /29 para o endereço MAC do servidor.
Você também terá um único vSwitch (eu pessoalmente renomearia isso para "Público" por questão de sanidade) configurado no vSphere, que está conectado à sua placa de rede física.
Você precisará criar um segundo vSwitch (por questões de sanidade, recomendo chamá-lo de "Privado") que não esteja conectado a nenhuma interface de rede física.
Depois que esses dois vSwitches estiverem configurados, você poderá criar uma máquina virtual com dois vNICs – um em cada vSwitch. Use o sistema operacional "roteador" que desejar (normalmente algo comoipfireoupfSensefuncionará bem) e configure-o para pacotes NAT entre seus vSwitches WAN (Público) e LAN (Privado).
Para usar seus endereços IP /29, você precisará criar VMs anexadas ao seu vSwitch privado e, em seguida, encaminhar a porta NAT conforme necessário.
Responder2
Eu realmente,realmenteRecomendo que você não coloque sua interface de gerenciamento ESXi diretamente na Internet. Seu único controle de segurança é então sua senha, que lhe dá as chaves completas do reino.
Eu sugiro que você instale um Unified Threat Manager (UTM) como pfsense ou Untangle para ser seu roteador com um endereço IP público. Sua rede ficaria assim:
Internet ---> VSWitch1 ---> UTM ---> VSwitch2> --- Virtual Machines
Onde:
- VSWitch1está conectado a uma NIC real que enfrenta a Internet
- UTMestá conectado ao VSWitch1 (com um de seus endereços IP públicos de 29 bits) e ao VSwitch2 (com um endereço IP privado)
- VSwitch2não está conectado a nenhuma NIC real
- Máquinas virtuaisestão todos conectados às NICs e possuem endereços IP privados (como 192.168.0.0/24 ou 10.0.0.0/8)
Com esta configuração, você utilizará o UTM para realizar NAT para que suas máquinas virtuais tenham acesso à Internet (e vice-versa utilizando encaminhamento de porta, quando necessário). Esses UTMs vêm com recursos de Firewall, recursos IPS e todas as coisas boas para proteger sua rede.
Para acesso ESXI, eu recomendo que você crie uma VPN para sua rede privada. Coloque seu VMKernel na rede privada (como 192.168.0.101/24). Dessa forma, você se autentica com sua VPN e todo o seu tráfego é criptografado. A VPN é um recurso dos UTMs que mencionei.
Mais! Bônus! Eles são gratuitos e de código aberto :-)
Se você precisar ter acesso direto à Internet ao seu ESXI - eu ainda recomendaria pelo menos colocar um firewall/NAT entre o seu ESXI e a Internet, caso contrário, você ficará com os recursos de segurança [inexistentes] do ESXi.