ESX in der DMZ, VC Server im LAN. Portproblem

pcpanik · Beitragvon **pcpanik** » 28.04.2009, 09:07

Hallo,

wir haben in unserer LAN umgebung 5 ESX 3.5 Server, welche wir mit einem (Hardware) Virtual Center Management Server verwalten.

Des weiteren haben wir 2 ESX 3.5 Server in unserer DMZ, welche wir auch gerne mit dem im LAN stehenden VC Managen möchten um die Vorteile der zentralen Verwaltung und aller VMware Funktionen sowie später VCB, welches noch nicht im Einsatz ist, zu nutzen.

Bei der Einrichtung sind wir aber auf das Problem gestoßen, dass ein "Any" vom LAN Segment zum DMZ ESXServer nicht ausreicht, sondern Ports vom DMZ Berech zum LAN geschaltet werden müssen.
Andernfalls fallen die ESX Server aus dem VC heraus, Befehle werden nicht ausgeführt, die Systeme sind nicht managebar.

Unsere Firmenpolitik untersagt aber Bidirektionale Verbindungen aus dem DMZ Bereich in das LAN frei zu geben.
Wie gesagt, das sind poltische, keine technischen Gründe.
Über die Sicherheit eines ESX und die Trennung der Segmente brauchen wir nicht sprechen.

Temporär leben wir damit, um die Funktionen zu testen, sind dazu aber angehalten diesen derzeitigen Zustand zu beseitigen.

Frage ist nur: Wie?

Besteht die Möglichkeit einen VC Server in der DMZ aufzusetzen und diesen mit dem im LAN zu koppeln?

Bin für Ideen dankbar.

Eine (sehr rudimentäre) Zeichnung habe ich, bekomme das Atachement aber nicht angehängt... (40kb png)

kastlr · Beitragvon **kastlr** » 28.04.2009, 11:50

Hallo,

nur für den Fall, das du diese Information noch nicht hast.
Informationen zur Nutzung von VMware Komponenten hinter einer Firewall/DMZ findest du in folgendem Dokument.
Englisch: http://www.vmware.com/pdf/vi3_35/esx_3/ ... _guide.pdf
Deutsch: (ab Seite 87) http://www.vmware.com/files/de/pdf/vi3_ ... ide_de.pdf

Ob das dann euren politischen Vorgaben genügt, kann ich natürlich nicht beurteilen.

Viel Erfolg
Ralf

PANIC · Beitragvon **PANIC** » 28.04.2009, 11:52

Wenn es ein politsiches und kein technisches Problem ist, würde ich das VC an einen freien Arm der Firewall hängen und dort ein seperates Managment Netz aufsetzen.

Somit benötigste du nur einige Ports von der DMZ in die VC DMZ und das VC ist vom LAN entkoppelt.

edit: hier noch ein Link zum VI Network Port Diagramm

http://www.boche.net/blog/index.php/200 ... -comments/

sehr hilfreich.

pcpanik · Beitragvon **pcpanik** » 05.05.2009, 12:53

Ich bedanke mich da bei euch beiden.

Die politische Aussage dazu lautet: Keine Ports von der DMZ ins LAN.
Keine Bidirektionale Verbindung.

Ich schaue mal, obg mir die Dokus helfen das zu realisieren, ohne einen weiteren VC aufzusetzen, denn das sind auch wieder Lizenzkosten.

Wenn noch Fragen offen sind, schreie ich

James · Beitragvon **James** » 06.05.2009, 07:23

kleiner Tip,

wir haben eine spezielle DMZ eingerichtet, in der nur die Service Console vom ESX läuft.

diese DMZ ist komplett zu in alle richtungen, ausser die Ports zum VC

gruss
James

Tschoergez · Beitragvon **Tschoergez** » 06.05.2009, 23:14

alternativ: die Service Console vom ESX auf andere physik. Netzwerkkarten konfigurieren, und diese dann nicht in die DMZ sondern ins Management (oder das normale) NEtz hängen.

Dann ist die Service console eben nicht in der DMZ, und es braucht keine Öffnung der Firewall.

Geht natürlich nur, wenn Ihr entsprechend viele NICs im Server habt.

Viele Grüße,
Jörg

pcpanik · Beitragvon **pcpanik** » 07.05.2009, 11:09

Danke für eure Beiträge, werde ich mir durch den Kopf gehen lassen. Die Sache mit der Service Konsole ist ja bereits so. Das Management hat 2 NICs für sich.

Habe leider akut ganz andere Sorgen: Die neuen VMware Tools lassen bei der Installation eine Großzahl unserer Gäste bei der Netzwerkkarten Installation stecken, sodaß nur noch ein Reset aus der Situation hilft.

VMware-Forum

ESX in der DMZ, VC Server im LAN. Portproblem

ESX in der DMZ, VC Server im LAN. Portproblem

Wer ist online?