web-dev-qa-db-ja.com

仮想マシンの背後にあるESXi

の質問のフォローアップと同じように:単一のIPアドレスを提供するコロケーション施設に移動するESXiサーバーがあります。ゲストVMのルーターとして機能するVMを設定するルートをたどると思いますが、それはすべて重大なことだと思います。私の懸念は、VMWareクライアントにアクセスして新しい仮想マシンを構成することです。これは私の頭の中では意味がありませんが、:

ESXiホストをそのVMルーターの背後に置くこともできますか?

または、セットアップにコロケーション施設からの2つのIPアドレスが必要ですか?つまり、1つのIPアドレスを使用してVM(ESXiホストを直接)を構成し、別のIPアドレスをゲストVMにアクセスしますか?

質問が明確でない場合に備えて、私がどこから来たのかを確認するために、現在のオフィスのセットアップでは、10.0.0.102のようなIPアドレスにESXiホストがあります。 VMは10.0.0.103で始まり、上昇します。また、どちらも内部アドレスが10.0.0.1の物理ルーターと、外部アドレスが98.x.x.xのようなルーターの背後にあります。 98.x.x.xネットワークと10.0.0.xネットワークにデュアルホームのVMゲストを作成して、トラフィックをルーティングし、VMにアクセスすることは可能ですか。 10.0.0.102でホストしますか?

1
mrduclaw

(3回目の書き直し)

あなたはこれの断片をすることができます。

ESXiシステムで2つの仮想スイッチを定義できます。 10.x.x.xのものには1つの「内部」を呼び出し、割り当てられた単一の98.x.x.xアドレスには1つの「外部」を呼び出します。

1つの物理イーサネットポートを「外部」vswitchに接続します。

2つのイーサネットデバイスでファイアウォールVMを定義します。1つを「外部」vswitchに接続し、与えられた98.xxxIPをインターフェイスに割り当てます。ファイアウォールVMの2番目のイーサネットデバイスをに接続します。 「内部」スイッチを使用して、10.xxxサブネット上のIPを指定します。これにより、ボックス上の他のすべてのVMのデフォルトルーターになります。

作成した相互のVMは、10.x.x.xサブネットを持つ「内部」vswitchに追加し、ファイアウォールの10.x.x.xIPをデフォルトルーターとして使用する必要があります。

ESXi管理インターフェイスを10.x.x.xサブネットを持つ「内部」vswitchに追加し、ファイアウォールの10.x.x.xIPをデフォルトルーターとして使用します。

内部から外部へのトラフィックをNATトラフィックに設定します。これにより、内部VMがインターネットと通信できるようになります。

この時点で、インターネットは10.xxxサブネットについて何も知らないため、インターネットはそれらと通信できません(つまり、10.xxxサブネット上にWebサーバーがある場合)。したがって、パケットは内部に到達しません。 VM。さらに、システムに到達した場合でも、上記のパケットをドロップするようにファイアウォールが構成されている可能性があります。そのため、インターネット経由でVMに「ルーティング」することはできません。

したがって、おそらく次のいずれかまたは両方を実行する必要があります。

  • ファイアウォールの外部インターフェイスで1つ以上のポート転送を設定するVMインバウンドトラフィックを特定のVMに戻す。たとえば、ファイアウォールの外部インターフェイスでポート80をポート転送するWebサーバーVMに戻り、ポート転送ポート981(おそらく、他の何かである可能性があります。マニュアルを確認してください)をESXiサーバーの管理インターフェイスに戻します。

および/または

  • ファイアウォールVMに戻った場所からVPNをセットアップし、それを介してトラフィックを「内部」ネットワークに直接ルーティングします。

セットアップの目的で、2つの物理インターフェイスがある場合は、2番目の物理インターフェイスを「内部」vswitchに追加できます。これは、システムに物理的にアクセスできる場合は、ラップトップを(おそらくクロスケーブルを介して)「内部」ネットワークに直接接続し、直接構成できることを意味します。これにより、ファイアウォールVMが何らかの理由で停止した場合の緊急アクセスも可能になります。

4