Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

Console Zugriff über Appliance / Webinterface

Alles zum Virtualisierungsmanagement und Servermanagement, was nicht direkt in ein festes Version-Schema paßt.

Moderatoren: irix, continuum, Dayworker

Member
Beiträge: 95
Registriert: 18.04.2005, 07:36

Console Zugriff über Appliance / Webinterface

Beitragvon bas123 » 22.11.2011, 10:06

Hallo,

mir ist aufgefallen, das das öffnen einer VM-Console in vCenter eine direkte Verbindung mit dem ESX Host aufbaut.
Soll jetzt aus fremden Netzen Zugriff auf die Console ermöglicht werden, müssen alle ESX Server dem fremden Netz zugänglich gemacht werden. Aus Sicherheitsgründen ist das wohl nicht optimal.

Besser wäre eine Lösung, vielleicht auch eine Appliance, welche den Zugriff zwischen ESX und Endpunkt (vCenter Client) händelt. Leider war meine suche im Web erfolglos.
Kennt jemand von Euch eine Möglichkeit über WAN Grenzen hinweg die Console von VM's bereitzustellen?

bas

Benutzeravatar
Profi
Beiträge: 743
Registriert: 23.07.2008, 14:09

Beitragvon mangold » 22.11.2011, 10:29

stellt sich mir die Frage warum das notwendig ist? der vSphere Client ist ja nicht zum Arbeiten gedacht, sondern zum Administrieren. Es ist ja nicht nur der Consolen Port 902 frei zu geben, sondern alle, die vom vSphere Client benötigt werden. Wenn du so was über das WAN machen MUSST, dann sollte auf jeden Fall eine gesicherte Verbindung (VPN) genutzt werden, alles andere wäre fahrlässig.

Dennoch sollte man wirklich darüber nachdenken, ob dieser Zugriff notwendig ist und nicht ein RDP oder SSH Zugriff auf die VMs ausreichend ist. Auch das sollte natürlich abgesichert werden.

Member
Beiträge: 95
Registriert: 18.04.2005, 07:36

Beitragvon bas123 » 22.11.2011, 10:49

Ein Teil der Administration sitzt an einem externen Standort und muss genau für evtl. administrative Tätigkeiten die Console öffnen können. Das der Datenverkehr verschlüsselt werden muss ist mir schon klar, hatte ich der Einfachheit verschwiegen.

Grundsätzlich geht es darum, die ESX Host (welche in einem separatem Netz untergebracht sind) nicht an allen externen Standorten bekannt zu machen.

Am besten wäre ein Appliance die das ganze über ein Webinterface publiziert. Und das ganze noch mit einem SSL-VPN Zugang versehen sicher und von überall aus nutzbar.
Nur welche Applikation kann das?

bas

Member
Beiträge: 264
Registriert: 13.05.2009, 13:53
Wohnort: HH

Beitragvon Borg-HH » 22.11.2011, 11:45

Hab ihr keine Möglichkeit eine VPN Einwahl herzustellen ? Dann kann man doch die Endpunkte festlegen und im vCenter eventuelle Berechtigungen für den Zugriff einstellen. Eine Appliance dafür wäre wohl oversized und gibt es meines Wissens nicht. Wäre wohl auch nichts anderes wie ein VPN Gateway mit Anbindung an ein vCenter.
Was ist mit vcenter mobile access ?

Benutzeravatar
Profi
Beiträge: 743
Registriert: 23.07.2008, 14:09

Beitragvon mangold » 22.11.2011, 11:46

bas123 hat geschrieben:Am besten wäre ein Appliance die das ganze über ein Webinterface publiziert. Und das ganze noch mit einem SSL-VPN Zugang versehen sicher und von überall aus nutzbar.
Nur welche Applikation kann das?
bas

glaube nicht das es so etwas gibt, was nicht heißen soll, dass es nicht existiert. Das Webinterface des VCenter war zumindest in der Version 4 nicht zu gebrauchen, der 5er wäre mal einen Blick wert.

Ich denke du wirst nicht darum kommen, die ESXi Server auch dort verfügbar zu machen, die Ports sind ja dokumentiert. Wenn eure Firewall(s) das hergeben, kann man das ja mit ACLs regeln, natürlich nur wenn die Standort auch durch Firewalls getrennt werden.

Eine Alternative hätte ich noch, so lösen wir das hier für Admins, die keine Windows Kiste haben, um den vSphere Client zu installieren. Diese bekommen Zugang auf einen Terminal Server, auf dem der vSphere Client installiert ist. Dann müssen die entfernten Standorte nur per RDP Zugriff auf diesen TS bekommen, und nur der TS bekommt Zugriff zur ESX Farm. Damit hast du auch alle Standorte auf einen Schlag angebunden. Ich administriere so von Unterwegs auch meine Farm, geht sogar vom iPad dank Citrix Reciever.

Member
Beiträge: 95
Registriert: 18.04.2005, 07:36

Beitragvon bas123 » 22.11.2011, 12:13

Borg-HH hat geschrieben:Was ist mit vcenter mobile access ?

--> kann meines Wissens keine Console anzeigen; dient nur zur konfig (nicht getestet , nur gelesen

mangold hat geschrieben:....ekommen Zugang auf einen Terminal Server, auf dem der vSphere Client installiert ist.....
.

Die Idee kam mir auch schon; wollte jedoch die Kosten für Lizenzen einsparen. Mal schauen, vielleicht weiß jemand noch was.

Danke auf jedenfall für eure antworten.

bas

Benutzeravatar
Profi
Beiträge: 743
Registriert: 23.07.2008, 14:09

Beitragvon mangold » 22.11.2011, 12:32

Borg-HH hat geschrieben:
Die Idee kam mir auch schon; wollte jedoch die Kosten für Lizenzen einsparen. Mal schauen, vielleicht weiß jemand noch was.

bas
na die Appliance wird ja auch nicht kostenlos sein :?
mal schauen, vielleicht hat jemand da eine idee. Aber hast schon recht eine RDS-CAL ist auch nicht kostenlos, dennoch halte ich diese Lösung für problemlos und nicht fehleranfällig. Ist im Supportfall auch nicht ganz unerheblich.


Zurück zu „vCenter / VMware VirtualCenter“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast