У нас есть выделенный сервер с хостинг-провайдером. Мы используем ESXi 6.0. У сервера есть один публичный IP, который в настоящее время используется для интерфейса управления. Провайдер также выделил нам блок /29, чтобы наши виртуальные машины могли иметь публичные IP. Мы можем использовать только 1 физический сетевой адаптер, что, как мне кажется, и вызывает некоторые проблемы.
Они сказали нам, что шлюз по умолчанию IP-адресов из этого блока должен быть установлен на IP-адрес сервера ESXi. Всякий раз, когда мы пытаемся настроить это, виртуальные машины жалуются, что шлюз находится в другой подсети, что так и есть.
Они указали, что из-за конфигурации их сети нам необходимо маршрутизировать любые IP-адреса из назначенного нам блока через IP-адрес сервера ESXi. Насколько мне известно, ESXi не поддерживает маршрутизацию, что делает это невозможным.
Мы спросили, могут ли они назначить этот блок (или даже отдельный IP-адрес) серверу, чтобы они совпадали с IP-адресом ESXi, чтобы мы могли использовать их на виртуальных машинах, но они сказали нам, что их сетевые настройки не позволяют этого сделать.
В идеале мы хотим иметь возможность назначать эти публичные IP нашим виртуальным машинам, чтобы они были доступны напрямую из Интернета. Есть ли способ сделать это? Мы что-то упускаем?
Если вышеперечисленное невозможно, есть ли способ сделать переадресацию портов или что-то еще, чтобы мы могли получить доступ к нашим виртуальным машинам из Интернета?
Мы не меняли никаких сетевых настроек в ESXi, поэтому у нас по-прежнему есть только один vSwitch с подключенными к нему как сетью управления, так и сетью виртуальных машин. Этот vSwitch подключен к одному физическому NIC на сервере, которому назначены все IP-адреса.
При необходимости будем рады предоставить любую дополнительную информацию.
решение1
Ваш хостинг-провайдер (полагаю, Hetzner?) прав.
Вам нужно будет назначить единый статический IP-адрес интерфейсу VMK вашего сервера VMware. Это позволит вам подключаться к серверу через консоль VMware и создавать виртуальные машины.
Ваш хостинг-провайдер должен иметь возможность маршрутизировать вашу подсеть /29 на MAC-адрес сервера.
У вас также будет один vSwitch (я бы лично переименовал его в «Public» ради здравого смысла), настроенный в vSphere, который подключен к вашей физической сетевой карте.
Вам нужно будет создать второй vSwitch (для здравого смысла я рекомендую назвать его «Частный»), который не будет подключен ни к одному физическому сетевому интерфейсу.
После настройки этих двух vSwitch вы можете создать виртуальную машину с двумя vNIC — по одному в каждом vSwitch. Используйте любую ОС «маршрутизатора», которая вам нравится (обычно что-то вродеipfireилиpfSenseподойдет) и настройте его на NAT-пакеты между вашими WAN (публичным) и LAN (частным) vSwitch.
Чтобы использовать IP-адреса /29, вам потребуется создать виртуальные машины, подключенные к вашему частному vSwitch, а затем при необходимости выполнить переадресацию портов NAT.
решение2
Я бы действительно,Действительнонастоятельно рекомендуем вам не выкладывать интерфейс управления ESXi в Интернет напрямую. Единственным средством контроля безопасности в таком случае будет ваш пароль, который даст вам полный доступ к королевству.
Я бы посоветовал вам установить Unified Threat Manager (UTM), например pfsense или Untangle, в качестве маршрутизатора с публичным IP-адресом. Ваша сеть будет выглядеть так:
Internet ---> VSWitch1 ---> UTM ---> VSwitch2> --- Virtual Machines
Где:
- VSWitch1подключен к реальному сетевому адаптеру, который выходит в Интернет
- УТМподключен к VSWitch1 (с одним из ваших публичных 29-битных IP-адресов) и VSwitch2 (с частным IP-адресом)
- VSwitch2не подключен ни к одной реальной сетевой карте
- Виртуальные машинывсе подключены к сетевым картам и имеют частные IP-адреса (например, 192.168.0.0/24 или 10.0.0.0/8)
С этой конфигурацией вы будете использовать UTM для выполнения NAT, чтобы ваши виртуальные машины имели доступ к Интернету (и наоборот, используя переадресацию портов, где это необходимо). Эти UTM поставляются с функциями брандмауэра, функциями IPS и всеми полезными вещами для защиты вашей сети.
Для доступа к ESXI я бы рекомендовал вам создать VPN для вашей частной сети. Поместите ваш VMKernel в частную сеть (например, 192.168.0.101/24). Таким образом, вы аутентифицируетесь с помощью своего VPN, и весь ваш трафик шифруется. VPN — это функция UTM, о которой я упоминал.
Плюс! Бонус! Они бесплатны и имеют открытый исходный код :-)
Если вам необходим прямой доступ к Интернету к вашему ESXI, я бы все равно рекомендовал, по крайней мере, установить межсетевой экран/NAT между вашим ESXI и Интернетом, в противном случае вам придется полагаться на [несуществующие] функции безопасности ESXi.