Hallo,
ich hoffe ich bin hier richtig mit der Frage:
Ich habe einen root Server gemietet, auf dem ich mittels VMWare ESXi 6.0 mehrere VMs laufen lassen will. Des Weiteren habe ich zwei öffentliche IP-Adressen die auf diesen Server verweisen. Eine davon geht auf das Management Network und die andere auf eine Firewall-VM.
Was ich bisher so gelesen habe, dann ist es im Allgemeinen aus Sicherheitsgründen keine gute Idee, das Management Interface auf der public IP zu belassen. Da ich sowieso eine VM als Firewall laufen lasse will, würde es sich ja anbieten, das Management Interface hinter die Firewall zu legen. Das Problem dabei: wenn die Firewall-VM streikt, dann komm ich mit dem vSphere Client nicht mehr an den Server und kann nur noch einen Hardware-Reset des Servers machen (und wenn es dann noch nicht geht, dann ist wohl neu aufsetzen angesagt, da man über KVM ja nicht wirklich etwas administrieren kann beim ESXi).
Mein Gedanke / Frage ist nun:
Ist es möglich zwei Management Interfaces anzulegen - eines vor und eines hinter der Firewall-VM und das ganze so per Failback einrichten, dass das public Interface nur noch dann erreichbar ist, wenn das innere keine Verbindung mehr nach draußen hat?
So wie ich gesehen habe, dann kann ich ja in der Konfiguration im Bereich Netzwerk ein neues (zweites) Netzwerk vom Typ VMKernel (= Management Interface?) anlegen. Wie muss ich das (und das originale VMKernel Netzwerk) nun konfigurieren, dass ich den oben beschriebenen Failback habe? Ist das Überhaupt möglich?
Danke und Gruß
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
Failback für Management Interface
-
irix
- King of the Hill
- Beiträge: 13043
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Nein das ist so nicht moeglich.
Ich wuesste nun keine Funktion welche man nicht per KVM und der Kommandozeile erreichen kann um einen ESXi wieder zum fliegen zubringen. Keine Frage das da nicht alles machbar ist, aber auf jeden Fall ist alles da was man fuer das Troubleshooting benoetigt.
Gruss
Joerg
Ich wuesste nun keine Funktion welche man nicht per KVM und der Kommandozeile erreichen kann um einen ESXi wieder zum fliegen zubringen. Keine Frage das da nicht alles machbar ist, aber auf jeden Fall ist alles da was man fuer das Troubleshooting benoetigt.
Gruss
Joerg
Re: Failback für Management Interface
avon hat geschrieben:
So wie ich gesehen habe, dann kann ich ja in der Konfiguration im Bereich Netzwerk ein neues (zweites) Netzwerk vom Typ VMKernel (= Management Interface?) anlegen. Wie muss ich das (und das originale VMKernel Netzwerk) nun konfigurieren, dass ich den oben beschriebenen Failback habe? Ist das Überhaupt möglich?
Danke und Gruß
Wenn es dienstlich ist kannst du dir natürlich auch einen zweiten Host bei deinem Provider mieten um einen ESX Client und sonstige Werkzeuge zu haben. Hilft aber auch nur wenn der Host zumindestens noch im Netz erreichbar ist.
Kostet dann aber Geld und die Kommandos per Konsole braucht man früher oder später doch immer mal wieder.
Gruss
Danke für die schnelle Antwort!
Ok, schade - wäre ja auch zu einfach gewesen
Was haltet ihr von der Idee: Anstatt die 1. public IP direkt auf das Management Network zu legen, schalte ich eine zweite kleine "Firewall" mit Minimalkonfiguration dazwischen, die nur den Zugriff auf das Management Network ermöglicht und aufgrund ihrer minimalen Auslegung auf jeden Fall funktionieren sollte. Diese Mini-Firewall-VM startet beim reboot des Servers automatisch, während die eigentliche Firewall-VM (und alle anderen VMs) aus bleibt. Nach dem ich dann nach dem Reboot über die Mini-Firewall die anderen VMs gestartet habe und diese funktionieren (der Zugriff auf das Management Network ist jetzt wieder über die Main-FW per VPN möglich) fahre ich die Mini-FW-VM runter und blockiere so den Zugriff auf das erste Management Network.
Noch mal zum einfacheren Verständnis:
IP1 => Mini-FW-VM (Autostart) => Management Network 1
IP2 => FW-VM (manueller Start) => VPN => Management Network 2
Die Mini-FW-VM wäre also der Failback für die normale Firewall-VM.
Und noch eine Frage:
Wie kommt man über die KVM an die Konsole ran? Nach dem Start ist dort doch nur der Standard-Screen bei dem ich eigentlich nur das root-Passwort und ein paar Netzwerkeinstellungen ändern kann?
Ok, schade - wäre ja auch zu einfach gewesen
Was haltet ihr von der Idee: Anstatt die 1. public IP direkt auf das Management Network zu legen, schalte ich eine zweite kleine "Firewall" mit Minimalkonfiguration dazwischen, die nur den Zugriff auf das Management Network ermöglicht und aufgrund ihrer minimalen Auslegung auf jeden Fall funktionieren sollte. Diese Mini-Firewall-VM startet beim reboot des Servers automatisch, während die eigentliche Firewall-VM (und alle anderen VMs) aus bleibt. Nach dem ich dann nach dem Reboot über die Mini-Firewall die anderen VMs gestartet habe und diese funktionieren (der Zugriff auf das Management Network ist jetzt wieder über die Main-FW per VPN möglich) fahre ich die Mini-FW-VM runter und blockiere so den Zugriff auf das erste Management Network.
Noch mal zum einfacheren Verständnis:
IP1 => Mini-FW-VM (Autostart) => Management Network 1
IP2 => FW-VM (manueller Start) => VPN => Management Network 2
Die Mini-FW-VM wäre also der Failback für die normale Firewall-VM.
Und noch eine Frage:
Wie kommt man über die KVM an die Konsole ran? Nach dem Start ist dort doch nur der Standard-Screen bei dem ich eigentlich nur das root-Passwort und ein paar Netzwerkeinstellungen ändern kann?
avon hat geschrieben:Danke für die schnelle Antwort!
Ok, schade - wäre ja auch zu einfach gewesen
Was haltet ihr von der Idee: Anstatt die 1. public IP direkt auf das Management Network zu legen, schalte ich eine zweite kleine "Firewall" mit Minimalkonfiguration dazwischen, die nur den Zugriff auf das Management Network ermöglicht und aufgrund ihrer minimalen Auslegung auf jeden Fall funktionieren sollte. Diese Mini-Firewall-VM startet beim reboot des Servers automatisch, während die eigentliche Firewall-VM (und alle anderen VMs) aus bleibt. Nach dem ich dann nach dem Reboot über die Mini-Firewall die anderen VMs gestartet habe und diese funktionieren (der Zugriff auf das Management Network ist jetzt wieder über die Main-FW per VPN möglich) fahre ich die Mini-FW-VM runter und blockiere so den Zugriff auf das erste Management Network.
Noch mal zum einfacheren Verständnis:
IP1 => Mini-FW-VM (Autostart) => Management Network 1
IP2 => FW-VM (manueller Start) => VPN => Management Network 2
Die Mini-FW-VM wäre also der Failback für die normale Firewall-VM.
Und noch eine Frage:
Wie kommt man über die KVM an die Konsole ran? Nach dem Start ist dort doch nur der Standard-Screen bei dem ich eigentlich nur das root-Passwort und ein paar Netzwerkeinstellungen ändern kann?
Hallo,
zu 1)
funktioniert auch nicht wenn z.B. das Filesystem zickt.
Du brauchst letztlich eine echte KVM Lösung um zu sehen was los ist wenn der Host z-B. mit einem purple screen abeschmiert ist.
Alles andere ist immer Bastelei und im Firmenumfeld nicht zu vertreten.
zu 2)
https://pubs.vmware.com/vsphere-51/inde ... t.3.5.html
Gruss
-
irix
- King of the Hill
- Beiträge: 13043
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Ob du den Aufwand mit 2 FWs treiben willst must du wissen. Ich wuerde da nichts von halten.
Das man die Konsole verwenden will muss dem ESXi vorher gesagt werden weil per Default ist sie genau wie SSH Zugriff erstmal deaktiviert. Im DCUI->TroubleShooting Option->Shell und dort halt Enable. Dann kann man mit ALT+F1/F2 umschalten.
Gruss
Joerg
Das man die Konsole verwenden will muss dem ESXi vorher gesagt werden weil per Default ist sie genau wie SSH Zugriff erstmal deaktiviert. Im DCUI->TroubleShooting Option->Shell und dort halt Enable. Dann kann man mit ALT+F1/F2 umschalten.
Gruss
Joerg
das ganze über nen vps und nicht über ne vm laufen zu lassen hätte zumindest den vorteil das die warscheinlichkeit das der vps abschimiert geringer ist als die vm, denn der wäre im Falle eines Purple Screens noch on.
das ganze ist halt nur Theoretisch, da ich nicht weiß ob nen Netzwerk sowas kann oder gar dein Hoster der eigentlich auf Massenmarkt ausgerichtet ist dies anbietet, kann halt auch sein das ich gerade Blödsin schreibe und das garnicht geht, fragmal deinen Hoster.
LG
Stefan
das ganze ist halt nur Theoretisch, da ich nicht weiß ob nen Netzwerk sowas kann oder gar dein Hoster der eigentlich auf Massenmarkt ausgerichtet ist dies anbietet, kann halt auch sein das ich gerade Blödsin schreibe und das garnicht geht, fragmal deinen Hoster.
LG
Stefan
achso ja ich meinte Getrente Hardware.
mit Management meinen wir beide das von Vsphere?, dann ist meine Idee ja eben das du die IP des VPS in die ESX Firewal als einzigen Zugriff Einträgst und du dich immer per Tunnel/Vpn über den getrennten Vserver auf dem Host kommst(das ist im Prinzip noch das einfachste um das ganze abzusichern)
VPS dient dann sozusagen als neue Öfentliche(oder auch nicht wenn du da noch über nen openvpn/ssh tunnelst)
Das dir die Firewal vm wegen nem Vm Fehler drauf geht ist garnicht so unwarscheinlich, du brauchst da nur nen Snapshot irgendwie vergessen.
LG
Stefan
mit Management meinen wir beide das von Vsphere?, dann ist meine Idee ja eben das du die IP des VPS in die ESX Firewal als einzigen Zugriff Einträgst und du dich immer per Tunnel/Vpn über den getrennten Vserver auf dem Host kommst(das ist im Prinzip noch das einfachste um das ganze abzusichern)
VPS dient dann sozusagen als neue Öfentliche(oder auch nicht wenn du da noch über nen openvpn/ssh tunnelst)
Das dir die Firewal vm wegen nem Vm Fehler drauf geht ist garnicht so unwarscheinlich, du brauchst da nur nen Snapshot irgendwie vergessen.
LG
Stefan
Die meisten Server haben heute doch nen Management-Interface wo Iso's gemountet, Bildschirm eingesehen werden kann etc.
Wäre es nicht generell sinnvoller da nen VPN-Server draufzupacken? Haben wir bei fast jeder neueren Maschine.
Ich kann dann nen Kippschalter umlegen und das schaltet das Teil ein, das wiederum nimmt die Verbindung mit ihrem System bzw. des Dienstleisters auf. Kippschalter gibts entweder direkt im Gerät integriert oder als potentialfreien Kontakt für nen eigenen Schalter.
Übertragung ist dann komplett verschlüsselt. Die Dinger gehen auch mit dynamischen IP's, da sie die Verbindung selbständig aufnehmen. Optimal natürlich mit nem GSM-Gateway, falls richtig was verkackt ist oder der Strom weg und somit kein Internet vorhanden. =)
Sinnvoll wäre sicher auch nen physischen lan-port welcher den vsphere-management-port aktiviert hat mit drauf zu packen. Die Dinger haben meistens auch nen kleinen Switch integriert.
Selber versucht habe ichs leider noch nie wies mit Servern klappt. Da muss ich auch mal ran. Würde viel Arbeitsweg ersparen. Die Maschinenhersteller arbeiten aber mittlerweile alle so. Funktioniert 1A.
Wäre es nicht generell sinnvoller da nen VPN-Server draufzupacken? Haben wir bei fast jeder neueren Maschine.
Ich kann dann nen Kippschalter umlegen und das schaltet das Teil ein, das wiederum nimmt die Verbindung mit ihrem System bzw. des Dienstleisters auf. Kippschalter gibts entweder direkt im Gerät integriert oder als potentialfreien Kontakt für nen eigenen Schalter.
Übertragung ist dann komplett verschlüsselt. Die Dinger gehen auch mit dynamischen IP's, da sie die Verbindung selbständig aufnehmen. Optimal natürlich mit nem GSM-Gateway, falls richtig was verkackt ist oder der Strom weg und somit kein Internet vorhanden. =)
Sinnvoll wäre sicher auch nen physischen lan-port welcher den vsphere-management-port aktiviert hat mit drauf zu packen. Die Dinger haben meistens auch nen kleinen Switch integriert.
Selber versucht habe ichs leider noch nie wies mit Servern klappt. Da muss ich auch mal ran. Würde viel Arbeitsweg ersparen. Die Maschinenhersteller arbeiten aber mittlerweile alle so. Funktioniert 1A.
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste