VMware ESXi 6.7 + Horizon + pfSense im Rechenzentrum

[dk-one]

Hallo,

wir etablieren eine neue vSphere-Umgebung bestehend aus zwei ESXi 6.7 Hosts, einem vCenter sowie dem Horizon 7 AddOn. Hierzu haben wir drei Server gemietet.

Auf dem ersten läuft (aus Performance-Gründen nicht virtualisiert) eine pfSense mit zwei NICs (WAN/LAN).

Beide ESXi Hosts haben jeweils auch zwei NICs. Über eine NIC findet die Anbindung an WAN über eine feste IP statt. Das soll auch so bleiben, damit wir im Bedarfsfall ein Rescue System booten können. Die Ports der Public IP werden noch Fertigstellung der Konfiguration später per Firewall des Providers dicht gemacht.

Das VMKernel Netzwerk hat als IP-Parameter die vom Provider zugewiesenen (Public IP, Subnet, GW, DNS). Das interne Netz 172.16.10.x habe ich über einen zweiten vSwitch mit einem zweiten VMKernel erstellt, hat aber nicht über die pfSense routebar, da ja nur ein Gateway zugelassen ist.

Wie kann ich die beiden Subnets konfigurieren, dass als Standard-Gateway die pfSense au den LAN-Interface verwendet wird, die Server aber im Rescue Fall weiterhin über die Public IP erreichbar bleiben?

[~thc]

Habt ihr für jede Maschine eine Public IP bekommen? Also insgesamt drei?

Und die VMs sollen dann schließlich nur über die Public IP der pfSense erreichbar sein?

[dk-one]

Ja, für jeden Server gibt es eine Public IP.

Mit der pfSense erstellen ich VPN-DialIns, so dass wir Zugriff au das interne Netz bekommen.

Genau, der Zugriff der User später auf VDI/Horizon soll ausschließlich über PortForwarding der pfSense erfolgen. Ich könnte natürlich auch die Public IPs vom VMKernel entfernen. Aber dann wären die ESXi-Hosts ausschließlich über die pfSense erreichbar. Und wenn die ausfällt ist gar kein Zugriff mehr auf die ESXi-Hosts möglich.

Deshalb dachte ich, dass ich das Management Netzwerk auf den public IPs lasse (wird nach Abschluss der Konfiguration per Provider-FW gesperrt). Aber wie erreiche ich dann später per vCenter, dass die beiden ESXi-Hosts kommunizieren können, ohne über das Internet zu gehen?

[dk-one]

Ach so, noch folgende Information:

alle drei Server haben einen Uplink direkt zum Internet und eine zweite NIC, die über einen gesonderten physikalischen Switch verbunden sind.

[~thc]

Wenn es um den Notfall-Zugriff auf die ESXi und die VCSA geht, mein Vorschlag:

Installiere ganz normal die pfSense und einen ESXi (2), der nur internen Zugriff hat (Public-IP bleibt ungenutzt). Der andere ESXi (1), der auch die VCSA beherbergt, betreibt das Management nur am internen IP-Kreis. Die Public-IP läuft über einen separaten vSwitch und eine pfSense-VM (Performance ist ja dort zweitrangig) mit VPN-Wartungszugang. Das kann man natürlich auch auf der (2) so machen...

[dk-one]

Ja, so kann ich es machen. Danke.