VMWareESXi-VMへのVPNトンネル
プロバイダーを通じてVMWareESXiサーバーをレンタルすることを検討しています。このVMWareESXiサーバーにはパブリックIPが割り当てられます。このサーバーでホストするVMのほとんどは、内部でのみ使用することを目的としています。
私の質問は、すべてのVMをインターネットに公開する必要がないように、オフィスのゲートウェイ(Cisco RV082)からVMWareホストサーバーへのVPNトンネル(ipsec)を設定できるかどうかです。 VMWareホストサーバーの前にある機器にはアクセスできません。
たとえば、このようなトンネルを設定することは可能でしょうか。 Debian VMを実行し、次のことを実現します。
- イントラネット上のローカルIPアドレスを介してVMWareホスト上のすべてのVMにアクセスできます
- VMは、ローカルIPアドレスを介してイントラネット上のマシンに到達できます
これに代わる方法は、VMごとにプロバイダーから1つのパブリックIPアドレスを「購入」してから、インターネット経由でVMにアクセスし、それぞれが独自のiptables構成を使用して、オフィス以外のIPからのアクセスをブロックすることです。
どんな助けでも大歓迎です。
私の質問は、すべてのVMをインターネットに公開する必要がないように、オフィスのゲートウェイ(Cisco RV082)からVMWareホストサーバーへのVPNトンネル(ipsec)を設定できるかどうかです。
いいえ。ハイパーバイザーにVPNクライアントなどのサードパーティサービスをインストールすることはできません。
これはあなたが必要とするものです:
ESXi自体の管理IPアドレス。これは、管理するために到達できる限り、パブリックにすることも、プライベートにすることもできます。公開されている場合は、ファイアウォールで適切に保護されていることを確認してください。
A VM VPNゲートウェイとして機能する(OpenVPN、pfsense、RRASなど)
VPNゲートウェイとして機能するVMの少なくとも1つのパブリックIPアドレス。
VPNゲートウェイVMのパブリックインターフェイスを備えたパブリックvSwitch。
残りの「プライベートのみ」のVMが接続するプライベートvSwitch。
VPN VMを両方のvSwitchに接続し、それを介してルーティングを構成します。このようにして、両方にアクセスできるVMにトンネリングします。パブリックネットワーク(VPNに接続できるようにするため)とプライベートネットワーク。VMが不必要に外部に公開されないようにし、すべてのVMにパブリックIPを必要としないようにします。
私の会社は、仮想化されたファイアウォールエンドポイントを使用してこれを常に行っています...私たちはプライベートクラウドプロバイダーなので、これは現実的なシナリオです。
これは、 n2nトンネル を実行する仮想化Linuxシステムの形式で提供されます(中間デバイスの制御がない場合、またはパブリックIPがない/不十分な場合)。
セットアップで人気のあるもう1つのオプション、および一部の Amazon Web Servicesソリューション で必要なのは、VPN端末として Vyatta仮想ファイアウォール を使用することです。