web-dev-qa-db-ja.com

ESXi VMでパブリックIPを取得するにはどうすればよいですか?

ホスティングプロバイダーの専用サーバーがあります。 ESXi 6.0を実行しています。サーバーには、現在管理インターフェースに使用されている単一のパブリックIPがあります。プロバイダーから/ 29ブロックが割り当てられているため、VMでパブリックIPを使用できます。物理NICは1つしか使用できないため、問題が発生していると思います。

彼らは、このブロックからのIPのデフォルトゲートウェイをESXiサーバーのIPに設定する必要があると私たちに話しています。これを設定しようとすると、VMはゲートウェイが別のサブネットにあると言って不平を言います。

彼らは、ネットワークの構成方法のため、割り当てられたブロックからESXiサーバーのIPを介してすべてのIPをルーティングする必要があることを示しています。私の知る限りでは、ESXiはルーティングをサポートしていないため、これは不可能です。

VMで使用できるようにESXi IPと同じになるようにサーバーにこのブロック(または単一のIP)をサーバーに割り当てることができるかどうか尋ねましたが、ネットワークのセットアップでは許可されていませんこのため。

理想的には、これらのパブリックIPをVMに割り当てて、インターネットから直接アクセスできるようにする必要があります。これを行う方法はありますか?何かが足りませんか?

上記が不可能な場合、インターネットからVMにアクセスできるように、ポート転送やその他のことを行う方法はありますか?

ESXiのネットワーク構成は変更していないため、管理ネットワークとVMネットワークの両方が接続された単一のvSwtichが残っています。このvSwitchは、サーバー上の単一の物理NICに接続され、すべてのIPが割り当てられます。

必要に応じて、追加情報を提供してください。

vmware-esxiroutingipvirtual-machinesaddress
4
user284587

あなたのホスティングプロバイダー(ヘッツナー、推測では?)は正しいです。

単一の静的IPアドレスをVMwareサーバーのVMKインターフェイスに割り当てる必要があります。これにより、VMwareコンソールを介してサーバーに接続し、VMを作成できます。

ホスティングプロバイダーは、/ 29サブネットをサーバーのMACアドレスにルーティングできる必要があります。

また、物理ネットワークカードに接続されているvSphere内で構成された単一のvSwitch(個人的にこれを正気さのために「パブリック」に名前変更します)があります。

物理ネットワークインターフェイスに接続されていない2つ目のvSwitch(健全性のために、「プライベート」と呼ぶことをお勧めします)を作成する必要があります。

これらの2つのvSwitchをセットアップしたら、2つのvNIC(各vSwitchに1つ)を備えた仮想マシンを作成できます。任意の「ルーター」OSを使用し(通常は ipfire または pfSense のようなもので問題ありません)、NAT WAN(パブリック)およびLAN(プライベート)vSwitch.

/ 29 IPアドレスを使用するには、プライベートvSwitchに接続されたVMを作成し、必要に応じてNAT port-forwardを実行する必要があります。

5
Craig Watson

本当に、本当に ESXi管理インターフェイスをインターネットに直接配置しないことをお勧めします。その場合の唯一のセキュリティ管理は、王国への完全な鍵を提供するパスワードです。

PfsenseやUntangleのようなUnified Threat Manager(UTM)をインストールして、パブリックIPアドレスを持つルーターにすることをお勧めします。ネットワークは次のようになります。

Internet ---> VSWitch1 ---> UTM ---> VSwitch2> --- Virtual Machines

どこ:

  • VSWitch1はインターネットに接続されている実際のNICに接続されています
  • [〜#〜] utm [〜#〜]はVSWitch1(29ビットのパブリックIPアドレスの1つ)とVSwitch2(プライベートIPアドレス)に接続されています
  • VSwitch2は実際のNICに接続されていません
  • 仮想マシンはすべてNICに接続され、プライベートIPアドレス(192.168.0.0/24や10.0.0.0/8など)を持っています

この構成では、UTMを使用してNATを実行し、仮想マシンがインターネットにアクセスできるようにします(必要に応じて、ポート転送を使用してその逆も可能です)。これらのUTMにはファイアウォールが付属しています機能、IPS機能、およびネットワークを保護するためのすべての優れた機能。

ESXIアクセスの場合、実際にはプライベートネットワークにVPNを作成することをお勧めします。 VMKernelをプライベートネットワーク(192.168.0.101/24など)に配置します。このようにして、VPNで認証すると、すべてのトラフィックが暗号化されます。 VPNは、先ほど触れたUTMの機能です。

プラス!ボーナス!彼らは無料でオープンソースです:-)

ESXIへの直接インターネットアクセスが必要な場合-少なくともファイアウォール/ NATをESXIとインターネットの間に配置することをお勧めします。それ以外の場合は、ESXiの[存在しない]セキュリティ機能に委ねられます。

0
Ryan