[solved] Vmware ESXi 6.7 VCenter HA Cluster NAT/Externer Zugriff

[pakuzaz]

Guten Morgen,

wir haben hier folgendes Problem.

Unser HA Cluster das durch ein VCenter Server Version 6.7 verwaltet wird soll von 5 Externen Standorten über eine Öffentliche IP erreichbar gemacht werden. Der Zugriff wird durch eine Firewall gesichert.

Hier ein beispiel:

Interne IP vom VCenter Server 10.1.1.2
Öffentliche IP 215.250.193.75 -> Nat auf die 10.1.1.2 Port 443
Der Zugriff wird nur von 5 Festen IP Adressen erlaubt.

Jetzt ist es aber so das die erste Seite vom VCenter die Auswahl bereithält welche Methode genutzt werden soll Flash oder HTML5. Nach der Auswahl HTML5 wird die Adresse 213.240.193.75 aber auf die 10.1.1.2 umgeschrieben und somit bekommen wir hier ein Fehler.

Kennt da jemand eine Lösung? DNS ist getestet aber leider ohne erfolg.

Gruß

Pakuzaz

[irix]

Frage: Wurde bei der Einrichtung des vCenter, als es gefragt wurde FQHN eingeben, eine IP Adresse eingegeben? Bis vor <6.7 war das Feld betitelt mit FQDN/IP Adresse. Mit 6.7u3 ist es nur noch FQDN welcher auch nur noch als Optional gekennzeichnet wurde.

Wenn man eine IP eingetragen hat dann hat es 2 Effekte
1. Das spaetere aendern der IP Adresse der VCSA der Appliance ist nicht support
2. Fuer den Login, nach der Auswahl HTML5/Flex Client macht die GUI einen Redirect... und sie springt auf den Wert welcher aus dem Eingabefeld heruehrt. Dieses ist auch der DN welcher primaer in dem

Valideren kann man es recht einfach in dem man mal in seinem Client die Baumstruktur bei Host&Clusters ganz oben anschaut ob das vCenter Objekt mit der IP oder einem FQDN drin steht. Bitte reiche mal die Info nach.

Info: Bis < 6.7 war das Aendern des FQDN nicht supportet und es hat auch nicht geklappt da die vCenter Dienste diesen Feldwert als internen Identifer verwenden. Mit 6.7u3 ist das aendern nun supportet.


Gruss
Joerg

[pakuzaz]

Danke für deine Antwort ja es steht leider die IP.

Kann man diese ändern in den FQDN? Es ist die Version 6.7 U3. Wenn ja wie?

Gruß

Pakuzaz

[irix]

Das erklaert dann das Problem des Browser von ausserhalb.... du koenntest es auch intern nachstellen aber evtl. ist der Redirect zu schnell. Wenn du die GUI Intern mittels DNS(FQHN) ansprichst dann wird die SSO Kompotente kurz auf die IP umleiten. Dein interner Browser kann beides Aufloesen bzw. Layer2-3 erreichen.

Die von Extern
Aufruf PuplicIP -> SSO Redirect auf FQDN(bei dir ungluecklich die IP) = Problem und keine Loesung
Aufruf Extern. DNS -> SSO Redirect auf FQDN(bei dir ungluecklich die IP) = Problem und keine Loesung

Loesung kann nur sein
Aufruf Extern. DNS/IP -> SSO Redirect auf FQDN = Ext. Browser muss den FQDN aufloesen koennen(zur Not ueber eigene etc/hosts) kann aber die Daten senden und bekommt Antwort.

Wenn du 6.7u3 hast... pruefe welche Version genau. IIRC ist Build 42000 das letzte. Mach einen Snapshot der VCSA und aendere in VAMI den Hostnamen. Achtung... es wird ein neues Certikat erstellt. Alle deine 3rd. Party Tools (Backup, Monitoring, Plugins usw) muessen aktualisiert werden da sie dem geaenderten Cert evtl. nicht vertrauen werden.

Gruss
Joerg

[pakuzaz]

Guten Morgen,

es ist das Aktuellste was es auf der Seite gibt und es hat sich gelohnt einen Snapshot anzulegen. Leider hat das ändern vom Hostname dazu geführt das der Server ein 500Error hatte.

Gruß

Pakuzaz

[irix]

Du must dem System durchaus 10min geben bis das vCenter mit einem spricht. Ansonsten halt VMware Ticket aufmachen... dafuer bezahlt man ja auch .

Des weiteren muss gewaehrleiset sein das die VCSA den neuen FQHN in deinem internen DNS aufloesen kann. Schlaegt dies fehl so starten 80% der Dienste nicht. Guck mal in der VMAI nach oder mach ein

Code: Alles auswählen

service-control --status

Im VMTN gibts aber mehrere Threads zu dem Thema das der Vorgang des Umbenennens nicht geklappt haette.

Gruss
Joerg

[pakuzaz]

Hab es nochmal in Ruhe getestet und ja ich sollte einfach mal 10-30min warten bis ich sage es läuft nicht.

Der oben genannte weg ist richtig und funktionierte auch.

Gruß

Pakuzaz