web-dev-qa-db-ja.com

公的にアクセス可能な範囲と2つのNICで安全なESXi環境をセットアップするための推奨される方法

私はESXiをかなり使い始めましたが、これに飛び込むことにしましたが、予想していたほど簡単ではないことがわかりました(間違いなく、これは主に、現時点での問題に関する知識の欠如が原因です)。 。

私が持っているもの:

  • 1 NIC ESXiを実行している専用サーバー
  • ホストの単一(パブリック)IPアドレス
  • それらが適合すると思われるあらゆる使用を目的とした(パブリック)IPアドレスのセット。物事を単純に保つために、今のところ単一のWebサーバーを想像してみましょう。

達成したいこと:

  • 安全なESXi管理。公にアクセス可能な管理ホストは間違っていると本当に感じています。
    • 物理ルーターを自由に使用できないので、ホストを物理VPNの背後に隠すことはできません。
  • 一部のゲストシステムへのパブリックアクセス
  • 追加のゲストはプライベートネットワークに座る必要があります。
  • パブリックゲストとプライベートゲストは、オプションでプライベートネットワークを介して通信できる必要があります。

現在、私はこれにどう取り組むべきかについて少し迷っています。おそらく何かを実行することはできますが、間違った基準で開始したり、最終的に安全ではない選択をしたりしたくありません。

どんな助けでもありがたいです。

更新:これまでに達成したこと(およびネットワークのスクリーンショット)

  • ESXiは稼働中で、まだパブリックインターフェイス上にあります
  • PfSenseゲストを構成しました
  • プライベートネットワークを介してpfSenseゲストに到達するようにDSLデスクトップを構成しました。

コンソールにアクセスできないため、ESXiを仮想VPNの背後に隠すことは非常に危険であると私はまだ感じています。私が何かを見落としている場合、または代替手段が可能である場合は、本当に知りたいです。

Network configuration for ESXi Host

3
Aron Rotteveel

一言で言えば:

  1. (少なくとも)2つのvSwitchを作成します。1つは「パブリック」で、サーバーNICの1つに接続されています。もう1つは、物理NICに接続されていない「プライベート」です。
  2. プライベートvSwitchで使用するRFC1918サブネットを選択します(例:10.0.0.0/24)。
  3. VMに pfSense をインストールし、そのWANインターフェイスをパブリックvSwitchに割り当て、そのLANインターフェイスをプライベートvSwitchに割り当てます。さらに、VMware vKernel管理ポートをプライベートvSwitchに割り当てます。 vSwitch。
  4. プライベートネットワークに到達するための適切なルーティングと共にpfSenseでVPNをセットアップします。 OpenVPNのセットアップは非常に簡単ですが、IPsecでも問題ありません。
  5. 所有しているサーバーVMの場合、それらのインターフェイスをプライベートネットワークに割り当てます。
  6. PfSenseで残りのパブリックIPアドレスの仮想IPを作成し、ホストの外部からアクセスできるようにする必要があるサービスのポート転送をセットアップします。

この時点で、pfSense VMは、トラフィックが外部から残りのサーバーおよび管理インターフェースに到達する唯一の方法になります。そのため、どのトラフィックであるかについて非常に具体的なルールを指定できます。許可され、ブロックされます。手順4で構成したVPNに接続すると、vSphere Clientを使用できるようになります。

6
EEAA

提案されたすべてのシナリオ-別のデバイス(ルーターまたは同じネットワーク内の別のマシン)の追加、ホスティングプロバイダーからのVPNサービスの購入、またはESXiホストでの仮想マシンの作成の場合は、オプションのように思えますVPNトラフィックの処理は適していません。

ESXiから得られる最良のものは、ステートレスパケットフィルター(ESXi5で利用可能)です。私がここで行うことをお勧めします:

  • hTTPS(tcp/443)とVMRC(tcp/903)(およびテクニカルサポートモードで作業している場合は多分SSH(tcp/22))を除くすべてをフィルタリングする-ESXiファイアウォールを使用するか、ホスティングプロバイダーにフィルターの設定を依頼する
  • 検証可能な証明書をロードします(管理ステーションが変更される傾向がある場合、またはそれらが多数ある場合は、パブリックCAから取得する必要があります)。
  • すべてのユーザーに複雑なパスワードを設定する
  • 管理インターフェースを公開します。
1
the-wabbit

ただ私の意見...

  1. ESXのネットワークループが問題になるのは、デュアルホーミングVMの場合だけです。それ以外の場合は、心配する必要はありません。実際、典型的なESX構成では、各スイッチに少なくとも2つのリンクがあり、それらは通常アクティブ/アクティブです。したがって、2番目のNICをVPNまたは他の安全な方法でのみアクセスできるプライベートネットワークでセットアップするための可能な方法がある場合、それはこれを構成する適切な方法です。
  2. 手がつながっているので、ESX自体にファイアウォールがあることを知ってください。そのため、非常に特定のIP範囲でのみ管理できるように、それがロックダウンされていることを確認します。 SSHとGUIコンソールの両方でこれを実行する必要があります。実行しているESXiのバージョンを教えていただければ、さらに詳しい情報が得られます。
  3. Pfsenseは適切な構成のように見えますが、Cisco ASA 5505のような小さなものを入手する方法が見つかれば、改善の余地があります。
0
Eric C. Singer

ホーム/ SMBルーターでさえ、何もないより安価であるよりも優れているため、ESXシステムと外部の間に何かを配置できますか?その後、ルーターを使用して、必要なポートのみをシステムに転送し、より安全なESXシステムを構築できます。それはかなりシンプルでコストは低いでしょう。少なくとも比較的安全に実行できる

0
Dave M