Management-LAN an sep. Ethernetadpater

[RalphT]

Moin,

ich habe ein ESXi-Server der derzeit nur einen Switch0 enthält. Daran angeschlossen sind alle VMs und das Management-LAN (DHCP).
Der Switch ist mit einem Ethernet-Adapter verbunden. Soweit alles ok.

Nun wollte ich, dass das Management über einen anderen, weiteren Ethernetadapter läuft und nicht mehr über den ersten Adapter. Also habe ich eine weitere Karte eingebaut, einen neuen Switch1 dort hinzugefügt und den mit dem zweiten Ethernetadapter verbunden (Protokoll Management).
Jetzt wollte ich den Zugriff über die neue IP-Adresse testen. Das funktioniert aber nicht. ICMP funktioniert wohl, mehr aber nicht.

Als Backup hatte ich noch das alte Management auf dem Switch0 nicht gelöscht, da ich Bedenken hatte, dass ich da überhaupt nicht mehr rankomme.

Was habe ich denn hier falsch gemacht?

[MarroniJohny]

Greifst Du aus einem anderen VLAN auf den vmkernel zu? Oder hast Du die Management Karte direkt mit dem Admin Rechner verbunden?

Falls ersters, liegt es meist daran, dass dem vmkernel der Gateway fehlt. Per fixer IP kann man gar keinen Gateway angeben, zumindest bei neueren ESXi Versionen. Wenn man den per DHCP vegeben lässt schon, wenn der Router/die Firewall dementsprechend konfiguriert ist. Habe ich auch schon geflucht deswegen.

[RalphT]

Hallo MarroniJohny,

danke für deine Antwort.

Ich greife auf die 2 NIC über ein anderes LAN darauf zu. Das Gateway habe ich direkt per Hand eingetragen.
Verstehe ich das jetzt richtig? Das funktioniert so nicht? Muss ich das per DHCP machen? Ich habe allerdings hier noch ein 6.7

[MarroniJohny]

Ja, früher ging das noch, den Gateway im ESXi fix vergeben. Das hatte vmware mit der v8 mal weg editiert, später ist es bei der v7 auch weg gepacht worden. Zumindest über die Web Gui, wahrscheinlich kann man es an der Server Konsole schon noch konfigurieren. Falls Du Zugriff auf die Server Konsole hast, würde ich das Netzwerk mal dort konfigurieren, und den neuen Adapter für den Zugriff markieren. So kannst Du Dir auch den Ast nicht absägen auf dem Du sitzt, das kannst Du jederzeit rückgängig machen.

Bei mir hat es aus einem anderen VLAN dann nur noch per DHCP funktioniert, weil der DHCP Server dem vmkernel den Gateway mit gibt.

So sieht das aus unter v8, da kann man keinen Gateway angeben:

[~thc]

Man kann in den Einstellungen des vmkX Adapters ab ESXi 7 grundsätzlich nur Adresse und Subnetzmaske eingeben.

Alle anderen relevanten Daten (Gateway/DNS) findet man in den Eigenschaften des damit verknüpften TCP/IP-Stacks.
Und dort kann man die auch manuell eintragen.

[RalphT]

Moin,

ich muss mich doch nochmal melden.

Ich habe ein Netzwerk (Switch1) hinzugefügt, die IP-Einstellungen mit Gateway hinzugefügt. Weiterhin habe ich das mit einer sep. Netzwerkkarte verbunden.

Wenn ich mich über ein Endgerät im gleichen LAN mit der neuen Managementadresse verbinden will, dann funktioniert das alles soweit.
Verbinde ich mich jedoch über ein anderes LAN damit, dann funktioniert nur ICMP. Der HTTPS- und SSH-Zugriff funktioniert nicht.
Die Firewall zwischen den Netzen ist natürlich auf evtl. Fehleinstellungen überprüft worden. Ein Trace zeigt auch, dass die Pakete zum ESXi auch geforwardet werden. Da ja ICMP funktioniert, kann die Sache mit dem Gateway ja nur richtig sein.

Jetzt bleibt in meinen Augen nur noch die Firewall auf dem ESXi-Server selber über. Aber die Einstellungen zeigen, dass ein Zugriff von any möglich ist. Vorsichtshalber habe ich auch mal diese Firewall deaktiviert. Das hat erwartungsgemäß nicht funktioniert.

Wo könnte dann hier noch der Fehler liegen?

[~thc]

Bitte erläutere genau, was du konfiguriert hast.

Der separate vSwitch (1) mit separater pNIC ist klar. Wie genau ist die zweite Management-Schnittstelle (vmkX) konfiguriert? Zweites IPv4 Segment oder andere Adresse im gleichen Segment wie die erste? Welcher TCP/IP-Stack ist damit verbunden? Ist er verschieden vom ersten?

[RalphT]

Hallo,

vmk1 hat eine statische IP-Adresse aus einem anderen SUB-Netz bekommen. Den Eintrag "Standard-Gateway" habe ich mit dem richtigen Wert überschrieben.

Beim TCP/IP-Stack habe ich nichts verändert. Beide Kernel-Adapter sind dem Stack "Standard" zugewiesen.

[~thc]

Das kann nach meinem Wissen so nicht gehen.

Der TCP/IP-Stack umfasst ja nur ein Default Gateway und damit nur ein routbares Subnetz.
Einen zweiten TCP/IP-Stack kann man scheinbar nicht anlegen (Host Client).

Damit muss der zweite vmkX-Adapter auch im gleichen Subnetz liegen, da er den gleichen TCP/IP-Stack nutzen muss.

[irix]

...
Damit muss der zweite vmkX-Adapter auch im gleichen Subnetz liegen, da er den gleichen TCP/IP-Stack nutzen muss.

Das ist so nicht erlaubt. Es gibt genau 2 ausnahmen von dieser Regel wann man einen weiterem VMK im gleichen Subnet haben darf
- ISCSI BINDING
- MultiNic vMotion

Ansonsten koennen die ausgehenen Pakete ueber den falschen VMK rausgehen und man hat ein sehr schraeges Fehlerbild.

Gruss
Joerg

[MarroniJohny]

Wie gesagt, früher ging das ohne Probleme. Geht immer noch, per DHCP Hack. Also hier nicht im selben Subnet, aber das will der TE ja nicht. Er will seinen vmkernel an einer zweiten Schnittstelle verfügbar machen.

Zum Verständnis. Der 101er Kernel ist an der Konsole für management angegeben. 28 ist für den NFS Filer, und darf nicht raus telefonieren. 29 ist mein LAN/VLAN, da greife ich auch auf das Admin Interface zu.

Zumindest hier funktioniert das ganz gut.

[irix]

Wenn das nen /24 ist dann ist das ja so i.o

https://knowledge.broadcom.com/external ... -esxi.html

[RalphT]

Ich hatte das eigentlich wie folgt gedacht:

vmnic0 und vmnic1 sollen nur für den Datenvekehr der VMs zuständig sein. Diese beiden Kabel sind mit Switch 1 physikalisch verbunden.
Die neue vmnic2 soll nur für den Zugriff Management (nur eine IP-Adresse) sein. Diese Karte ist mit Switch 2 physikalisch verbunden.

Bevor ich da jetzt rumprobiere: Ist das so überhaupt machbar? Wenn ja wie?

[irix]

Ja natuerlich ist es Machbar.... und "frueher" war das sogar sowas wie eine Blaupause.... dediz. 1G NICs fuer MGMT, dann nochmal welche fuer vMotion und dann welche fuer das "LAN" der VMs.

Aber dein Problem ist das du das ESXI MGMT nicht von deinem ersten vSwitch umgezogen hast. Einfach in dem DCUI die Kreuze neu verteilen und gut ist.

Gruss
Joerg

[RalphT]

So, jetzt habe ich das hinbekommen. Ich habe jetzt die Reihenfolge gefunden, wie man in diesem Fall vorgehen muss.
Es läuft dann alles so, wie es sein soll.

Nochmal vielen Dank für die Info!