Como obter IPs públicos em VMs do ESXi?

4

Temos um servidor dedicado com um provedor de hospedagem. Estamos executando o ESXi 6.0. O servidor tem um único IP público que está sendo usado atualmente para a interface de gerenciamento. O provedor também nos atribuiu um bloco / 29 para que nossas VMs possam ter IPs públicos. Nós só podemos usar 1 NIC física, o que eu acho que está causando alguns dos problemas.

Eles nos disseram que o gateway padrão dos IPs desse bloco deve ser definido para o IP do servidor ESXi. Sempre que tentamos configurar isso, as VMs reclamam dizendo que o gateway está em uma sub-rede diferente, o que é.

Eles indicaram que, devido à maneira como sua rede está configurada, precisamos rotear quaisquer IPs do bloco que eles nos atribuíram por meio do IP do servidor ESXi. Pelo que sei, o ESXi não suporta roteamento, tornando isso impossível.

Perguntamos se eles podem atribuir esse bloco (ou até mesmo um único IP) ao servidor para que eles sejam iguais aos do ESXi IP, para que possamos usá-los nas VMs, mas eles nos disseram que a configuração de rede deles não permite isso.

Idealmente, queremos poder atribuir esses IPs públicos às nossas VMs para que elas sejam acessadas diretamente pela Internet. Existe uma maneira de fazer isso? Estamos sentindo falta de algo?

Se o acima não for possível, existe uma maneira de fazermos o encaminhamento de porta / qualquer outra coisa, para que possamos acessar nossas VMs pela Internet?

Não alteramos nenhuma configuração de rede no ESXi, portanto, ainda temos apenas um único vSwtich com a rede de gerenciamento e a rede de VM anexada a ele. Este vSwitch é anexado a uma única NIC física no servidor, à qual todos os IPs são atribuídos.

Feliz em fornecer informações adicionais, se necessário.

    
por garyrixon 19.06.2015 / 11:29

2 respostas

6

O seu provedor de hospedagem (Hetzner, por suposição?) está correto.

Você precisará atribuir o único endereço IP estático à interface VMK do seu servidor VMware. Isso permitirá que você se conecte ao servidor por meio do console do VMware e crie VMs.

O seu provedor de hospedagem deve ser capaz de encaminhar sua sub-rede / 29 para o endereço MAC do servidor.

Você também terá um único vSwitch (pessoalmente renomearia isso para "Público" para sanidade) configurado no vSphere, que está anexado à sua placa de rede física.

Você precisará criar um segundo vSwitch (por prudência, eu recomendo chamá-lo de "Privado"), que não está conectado a nenhuma interface de rede física.

Quando esses dois vSwitches estiverem configurados, você poderá criar uma máquina virtual com dois vNICs - um em cada vSwitch. Use qualquer sistema operacional "roteador" que você goste (normalmente algo como ipfire ou pfSense vai fazer bem), e configurá-lo para pacotes NAT entre vSwitches WAN (Public) e LAN (Private).

Para usar seus / 29 endereços IP, você precisará criar VMs anexadas ao seu Private vSwitch e, em seguida, encaminhar a porta NAT conforme necessário.

    
por 19.06.2015 / 12:36
0

Eu realmente, realmente recomendo que você não coloque sua interface de gerenciamento do ESXi diretamente na Internet. Seu único controle de segurança é a sua senha, que lhe dá todas as chaves do reino.

Sugiro que você instale um UTM (Unified Threat Manager), como o pfsense, ou o Untangle, como seu roteador com um endereço IP público. Sua rede ficaria assim:

Internet ---> VSWitch1 ---> UTM ---> VSwitch2> --- Virtual Machines

Onde:

  • VSWitch1 está conectado a uma NIC real voltada para a Internet
  • UTM está conectado ao VSWitch1 (com um dos seus endereços IP públicos de 29 bits) e VSwitch2 (com um endereço IP privado)
  • VSwitch2 não está conectado a nenhum NIC real
  • Máquinas Virtuais estão todas conectadas às NICs e possuem endereços IP privados (como 192.168.0.0/24 ou 10.0.0.0/8)

Com esta configuração, você usará o UTM para realizar o NAT, para que suas máquinas virtuais tenham acesso à Internet (e vice-versa, usando o encaminhamento de porta, quando necessário). Esses UTMs vêm com recursos de firewall, recursos IPS e todas as coisas boas para proteger sua rede.

Para acesso ESXI, eu recomendaria que você fizesse uma VPN para sua rede privada. Coloque o seu VMKernel na rede privada (como 192.168.0.101/24). Dessa forma, você autentica com sua VPN e todo o seu tráfego é criptografado. A VPN é uma característica do UTM que mencionei.

Além disso! Bônus! Eles são gratuitos e de código aberto: -)

Se você precisar ter acesso direto à Internet ao seu ESXI - eu ainda recomendaria pelo menos colocar um firewall / NAT entre o ESXI e a Internet, caso contrário, você ficará com os recursos de segurança [inexistente] do ESXi.

    
por 19.06.2015 / 15:35