Hallo,
ich habs mir irgendwie einfacher vorgestellt....
Ich habe einen ESXI 5 mit vsphere Lizenz am laufen.
Auf diesem Server laufen ca 50 Maschinen,
davon sind 30 Entwicklungsmaschinen und ca 20 Produktiv.
Nun sind diese 30 Testmaschinen zum Großteil nicht in der Domäne eingebunden und das soll auch so bleiben.
Der Nachteil der Geschichte ist halt das hier Clients rumstehen deren User:Benutzer und passwort:pazzword heisst.... ein Horror ...
Die Testmaschinen bekommen regelmäßig frische Daten auf mehrere Shares angeliefert daher müssen Sie im Firmennetzwerk bleiben.
Um nun das Missbrauchpotential etwas einzudämmen wollte ich aber zumindest den Testmaschinen verbieten ins Internet zu gehen.
Die restlichen 20 Maschinen auf dem ESXI sollen hingegen weiterhin ins Internet connecten können.
Was genau muss ich tun um das hin zu bekommen ... bitte schritt für schritt ... weil es nicht klappt so wie ich es versuche.
gruß
Mike
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
Entwicklungsnetzwerk
Hi,
für mich ist des weniger ein VMware Problem als ein Netzdesign Problem.
Auf VMware Seitewürde ich zwei vSwitche anlegen. An der einen hängen alle Produktiv Maschinen und auf der anderen alle Testmaschinen. Jede vSwitch sollte nun zwei NICs bekommen um redundant angebunden zu sein. Die NICs der Produktiven vSwitch bekommen sind in eurem Netz so geschaltet, dass sie alles dürfen. Die NICs der Tetsumgebung verbietet man halt das Internet.
Jetzt kommt es halt darauf an was ihr für ein Netz habt. habt ihr nur ein Subnetz, dann hast du ein Problem. Dann bleibt dir nichts anderes übrig, als entweder auf den VMs das Gateway zu löschen oder ein zweites Subnetz aufzubauen das du dann in allen Test- und Produktiv Maschinen eintragen müsstest.
Habt ihr interne Router im Netz ergeben sich mehrer Möglichkeiten, die aber immer darauf hinauslaufen, dass ihr das Routing anpasst oder ACL setzt.
Gruß Peter
für mich ist des weniger ein VMware Problem als ein Netzdesign Problem.
Auf VMware Seitewürde ich zwei vSwitche anlegen. An der einen hängen alle Produktiv Maschinen und auf der anderen alle Testmaschinen. Jede vSwitch sollte nun zwei NICs bekommen um redundant angebunden zu sein. Die NICs der Produktiven vSwitch bekommen sind in eurem Netz so geschaltet, dass sie alles dürfen. Die NICs der Tetsumgebung verbietet man halt das Internet.
Jetzt kommt es halt darauf an was ihr für ein Netz habt. habt ihr nur ein Subnetz, dann hast du ein Problem. Dann bleibt dir nichts anderes übrig, als entweder auf den VMs das Gateway zu löschen oder ein zweites Subnetz aufzubauen das du dann in allen Test- und Produktiv Maschinen eintragen müsstest.
Habt ihr interne Router im Netz ergeben sich mehrer Möglichkeiten, die aber immer darauf hinauslaufen, dass ihr das Routing anpasst oder ACL setzt.
Gruß Peter
-
mbreidenbach
- Experte
- Beiträge: 1006
- Registriert: 30.10.2004, 12:41
Man konfiguriert die Firewall die das Entwicklungsnetzwerk vom Produktivnetzwerk trennt so daß sie das tut was sie soll. Wenn keine Firewall da ist muß man sich eine besorgen. Die kann auch virtuell laufen. Aber erstmal wird ein Netzwerksicherheitskonzept benötigt und es ist nicht der Job vom ESXi das zu realisieren.
Wenn eine vSphere Lizenz mit vShield Zones vorliegt dann kann der das evtl tun.
Wenn eine vSphere Lizenz mit vShield Zones vorliegt dann kann der das evtl tun.
-
mbreidenbach
- Experte
- Beiträge: 1006
- Registriert: 30.10.2004, 12:41
Ich mache das hier in meinem privaten Spielnetz mit einer Astaro die gibt es direkt als virtuelle Appliance und die Lizenz für privat kostet nix. Alternativen wären sicher sowas wie IPCop, pfsense oder für Linuxer auch mal was selbstgestricktes mit iptables.
Dazu dann drei Netzwerkkarten und ein Switch der VLANs kann. So kann ich auch 'Blech' direkt in die DMZ stöpseln.
Dazu dann drei Netzwerkkarten und ein Switch der VLANs kann. So kann ich auch 'Blech' direkt in die DMZ stöpseln.
Hallo,
ich habe mittlerweile einen anderen status.
Ich habe nun einen reinen Entwicklungssserver mit Vsphere 5 auf der einen Seite und ganz viele physischen Domänenclients auf der anderen Seite, ansonsten ist der Rest so geblieben.
Alle virtualisierten Maschinen auf dem ESXI sollen nicht ins Internet können auch wenn jemand einen funktionierenden Gateway in deren Netzwerkkonfiguration manuell reinhackt, aber sie sollen trotzdem mit manchen der produktiven !physischen! Domänenpc's kommunizieren dürfen.
Eure Vorschläge mit dem Vswitch und der Firewallappliance sind angekommen,
Da das für mich aber Mehraufwand bedeutet, wollte ich lieber noch mal nachfragen ob die nun geänderten Gegebenheiten nicht eine einfachere Lösung ermöglichen.
VG
Mike
ich habe mittlerweile einen anderen status.
Ich habe nun einen reinen Entwicklungssserver mit Vsphere 5 auf der einen Seite und ganz viele physischen Domänenclients auf der anderen Seite, ansonsten ist der Rest so geblieben.
Alle virtualisierten Maschinen auf dem ESXI sollen nicht ins Internet können auch wenn jemand einen funktionierenden Gateway in deren Netzwerkkonfiguration manuell reinhackt, aber sie sollen trotzdem mit manchen der produktiven !physischen! Domänenpc's kommunizieren dürfen.
Eure Vorschläge mit dem Vswitch und der Firewallappliance sind angekommen,
Da das für mich aber Mehraufwand bedeutet, wollte ich lieber noch mal nachfragen ob die nun geänderten Gegebenheiten nicht eine einfachere Lösung ermöglichen.
VG
Mike
Zurück zu „vSphere 5 / ESXi 5 und 5.1“
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 6 Gäste