Hallo,
ich bin momentan dabei einen kleinen vSphere Cluster bestehend aus 2 ESX Servern, einem vCenter Server und einem FC-Storage aufzusetzen.
Der Cluster soll in einem RZ stehen und der Zugriff Remote ueber den vCenter-Server erfolgen.
Nun finde ich leider keine wirklich hilfreiche Antwort, welchen Komponenten ich private IPs zuteilen und welche oeffentliche IPs (ggf. private IPs mit NAT) benoetigen.
Ich dachte mir, dass die ESX-Server private IPs erhalten und nur der vCenter-Server ueber eine oeffentlliche IP verfuegt, um den Remote-Zugriff zu ermoeglichen.
Wuerde das funktionieren / ist das sinnvoll , oder wie mache ich das besser ?
Ich habe da scheinbar noch Verstaendnisprobleme welcher Rechner auf das "oeffentliche" Netz zugreifen koennen muss um DNS-Aufloesungen zu machen, Updates zu ziehen oder Systemzustandsbotschaften zu versenden etc ...
Vielen Dank fuer ein paar hilfreiche Tipps!
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
IP-Adressbereiche vSphere Cluster
-
bloederhammel
- Member
- Beiträge: 5
- Registriert: 26.11.2009, 01:12
Also ich würde allen Maschienen private IP´s geben und auf den Internet-Router entweder
- in dem Internt-Router eine Portweiterleitung einrichten.
- oder besser einen VPN-Server einrichten
(zur Not als VM mit Portweiterleitung vom Inet-Router zu dieser VM, z.B. mit pfSense)
Für die DNS-Auflösung der interen IP´s brauchst du einen internen DNS-Server.
In der Regel machen das z.B. die DSL-Internet-Router mit, aber die sind sehr unflexibel.
Dringend abzuraten ist von DHCP für die Hosts und das Vcenter, alles statisch einrichten.
- in dem Internt-Router eine Portweiterleitung einrichten.
- oder besser einen VPN-Server einrichten
(zur Not als VM mit Portweiterleitung vom Inet-Router zu dieser VM, z.B. mit pfSense)
Für die DNS-Auflösung der interen IP´s brauchst du einen internen DNS-Server.
In der Regel machen das z.B. die DSL-Internet-Router mit, aber die sind sehr unflexibel.
Dringend abzuraten ist von DHCP für die Hosts und das Vcenter, alles statisch einrichten.
-
bloederhammel
- Member
- Beiträge: 5
- Registriert: 26.11.2009, 01:12
Der Zugriff auf das Internet hat mit den IP´s erst mal wenig zu tun.
In der Regel hast Du einen Internetrouter der das genau wie für die Windows-Rechner oder
alle anderen regelt und z.B. NAT macht.
Dort sollte auch eine Firewall drauf laufen und da kann man dann einschränken welche Rechner mit welchen Ports raus dürfen.
Rein darf in der Regel niemand.
Wenn man "Dienste anbietet" ( egal ob Webserver oder VPN-Zugang) muss dann
extra erlaubt werden.
Ich weis ja nicht wie groß eurer RZ ist, aber eigentlich wäre das alles ja schon vorhanden (?)
Das vCenter ohne VPN ins "Internet" zu stellen wäre mir zu heiß.
Bei der Rechtevergabe im vCenter vertut man sich schnell mal und mit einem geklauten/gehackten Password kann dann jeder Deine VMs bedienen.
Früher hieß es das man mit physischem Zugang jeden Server hacken kann,
in Zeiten von VM´s und remotem Zugang kann ich den virtuellen Server auch von
einer virtuellen CD booten und habe Zugriff auf die Platten, egal was das originale
Betriebsystem an Features bringt ( außer Verschlüsselung der Platten)
In der Regel hast Du einen Internetrouter der das genau wie für die Windows-Rechner oder
alle anderen regelt und z.B. NAT macht.
Dort sollte auch eine Firewall drauf laufen und da kann man dann einschränken welche Rechner mit welchen Ports raus dürfen.
Rein darf in der Regel niemand.
Wenn man "Dienste anbietet" ( egal ob Webserver oder VPN-Zugang) muss dann
extra erlaubt werden.
Der Cluster soll in einem RZ stehen und der Zugriff Remote ueber den vCenter-Server erfolgen.
Ich weis ja nicht wie groß eurer RZ ist, aber eigentlich wäre das alles ja schon vorhanden (?)
Das vCenter ohne VPN ins "Internet" zu stellen wäre mir zu heiß.
Bei der Rechtevergabe im vCenter vertut man sich schnell mal und mit einem geklauten/gehackten Password kann dann jeder Deine VMs bedienen.
Früher hieß es das man mit physischem Zugang jeden Server hacken kann,
in Zeiten von VM´s und remotem Zugang kann ich den virtuellen Server auch von
einer virtuellen CD booten und habe Zugriff auf die Platten, egal was das originale
Betriebsystem an Features bringt ( außer Verschlüsselung der Platten)
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 15 Gäste