服务器 Gind.cn
  1. 服务器 Gind.cn
  3. build议使用可公开访问的范围和2个NIC来设置安全的ESXi环境
Intereting Posts
如果在客户端引导时closuresNFS服务器,则让NFS客户端重试挂载 .htaccess“允许”和附加语句 是否有可能在单个Hyper-V虚拟机中充分利用主机的所有function? 我得到一个警告:C:上的磁盘空间不在5%以下 Windows是否尝试查找IPv6 AAAAlogging,即使它没有可路由的IPv6地址? 在Nginx中掩盖一个url 强制Windows Server 2008使用传统BIOS引导加载程序而不是EFI nagios:SMART磁盘检查的替代方法? 如何让一个网站无需访问www 在nginx上loggingSSLv3握手失败 在Amazon Linux上安装Google Chrome VSS作家NTDS状态11失败,其他作者状态5 Tomcat 6将跨Webappscaching吗? rsync作为根到/ var / www失败,“协议版本不匹配” 卸载php和nginx或修复安装程序

build议使用可公开访问的范围和2个NIC来设置安全的ESXi环境

我对ESXi相当陌生,但已经决定深入研究,但发现事情并不像我预期的那样容易(毫无疑问,这主要是由于我目前对此事缺乏了解) 。

我拥有的:

  • 运行ESXi的专用服务器,具有1个NIC
  • 主机的单个(公共)IP地址
  • 一组(公共)IP地址打算供任何使用我看到他们适合。 为了简单起见,现在让我们设想一个单一的networking服务器。

我想实现的是:

  • 安全的ESXipipe理 我真的觉得一个公开的pipe理主机是错误的。
    • 我没有任何物理路由器,所以我不能隐藏物理VPN后面的主机。
  • 公开访问我的一些访客系统
  • 额外的客人需要坐在私人networking上。
  • 公共和私人客人应该可以select通过专用networking进行沟通。

目前,我应该如何解决这个问题,我有点失落。 我可能可以运行一些东西,但是我不想从错误的angular度出发,或者做出最终不安全的select。

任何帮助表示赞赏。

更新:到目前为止我已经取得了什么(和networking截图)

  • ESXi已经启动,仍在公共界面上运行
  • 我configuration了一个pfSense来宾
  • 我已经configuration了一个DSL桌面通过专用networking到达pfSense客人。

我仍然觉得把ESXi隐藏在一个虚拟VPN后面是相当危险的,因为我没有控制台访问权限。 如果我忽略了一些东西,或者有其他的select,我真的很想知道。

ESXi主机的网络配置

简而言之:

  1. 创build(至less)两个vSwitch,一个“公共”,连接到一个服务器网卡和一个“私有”,它不连接到任何物理网卡。
  2. select在专用vSwitch上使用的RFC1918子网,例如10.0.0.0/24
  3. 在虚拟机中安装pfSense ,将其WAN接口分配给公共vSwitch,并将其LAN接口分配给专用vSwitch。 另外,将VMware vKernelpipe理端口分配给专用vSwitch。
  4. 在pfSense中设置一个VPN以及适当的路由到达专用networking。 OpenVPN很容易设置,但IPsec也可以。
  5. 对于任何服务器虚拟机,将其接口分配给专用networking。
  6. 在pfSense中为其余的公有IP地址创build虚拟IP,然后为您需要的人员从主机之外访问的任何服务设置端口转发。

在这一点上,pfSense虚拟机将是stream量可以从外部到其他服务器和pipe理界面的唯一途径。 因此,您可以指定关于哪些stream量被允许以及哪些stream量被阻止的非常具体的规则。 连接到您在步骤4中configuration的VPN后,您将可以使用vSphere Client。

如果所有build议的scheme都出现这种情况,那么看起来好像没什么意义 – 添加其他设备(无论是路由器还是同一networking中的其他机器),从您的托pipe服务提供商处购买VPN服务或在您的ESXi主机上创build虚拟机处理VPNstream量不是一个好的select。

从ESXi获得的最好结果是无状态数据包筛选器(可在ESXi5中使用)。 我会build议在这里做:

  • 除了HTTPS(tcp / 443)和VMRC(tcp / 903)(如果您使用的是技术支持模式,可能还有SSH(tcp / 22)),可以使用ESXi防火墙或通过要求托pipe服务提供商设置filter
  • 加载可validation的证书(如果pipe理站倾向于更改或者您拥有很多证书,则需要从公共CA获取证书)
  • 为所有用户设置复杂的密码
  • 公开暴露pipe理界面。

因为即使是家庭/中小型企业路由器也不会比没有任何产品更便宜,您能在ESX系统和外部之间放置什么吗? 然后,您可以使用路由器将所需的端口转发到系统,并拥有更安全的ESX系统。 这将是相当简单,成本低。 你至less可以让它运行相对安全

只是我的观点…

  1. ESX中的networking环路只是一个问题,如果你是双归属虚拟机,其他方面没有什么可担心的。 事实上,在一个典型的ESXconfiguration中,每个交换机至less有两个链接,它们通常是主动/主动的。 因此,如果有任何可能的方式来获得只能通过VPN或其他安全方式访问的专用networking上的第二个NIC设置,那么这是正确的方式来configuration此。
  2. 由于你的双手绑在一起,要知道ESX自己有防火墙。 所以我会考虑确保它被locking,以便它只能被一个非常特定的IP范围pipe理。 您需要为SSH和您的GUI控制台执行此操作如果您告诉我您正在运行的ESXi版本,我会为您提供更多信息。
  3. pfsense看起来像一个很好的configuration,但是如果你能find一些方法来获得像Cisco ASA 5505这样的小型产品,那么这对你来说将是一个改进的世界。