限制访问ESXi机器的最佳select是什么,以便可以仅使用特定主机上的VSphere客户机来pipe理它?
我知道没有内置的防火墙,每个人都build议把ESXi机器放在防火墙的后面,但是当这不是一个选项时…是否有其他的select,比如使用hosts.allow / deny或者其他的东西? 或者我更好地使用ESX而不是ESXi?
编辑:在给定的情况下,我不能添加任何额外的硬件或使用像pipe理交换机的东西。
是否可以configurationESXi机器的networking来创build匹配这些IP地址或块的静态路由,并将它们路由到本地主机? 这将有效地消除stream量回传给这些主机的机会。
如果将ESX主机插入托pipe交换机,则可能会构build一个访问列表,以允许从特定主机访问vsphere侦听的任何目标端口,然后拒绝所有其他主机。
我今天想到了这件事,虽然这不是你想要的,但我认为我能想出最好的。
安装2networking,一个接口指向不可信networking,另一个接口未连接到名为“可信networking”的物理接口
安装内置VPN的防火墙解决scheme(例如Smoothwall),REDnetworking指向不受信任的networking接口,以及来自不可信networking地址范围的静态IP地址
在刚刚创build的可信networking中创build一个新的VMKernel接口。
使用源地址权限,创build从不可信networking到可信networking的端口映射
运行Vsphere客户端,通过防火墙上的端口映射指向可信networking内的新VMKernel接口
删除在不受信任的接口上运行的VMKernel。
喝一杯清凉的琥珀液,因为它的星期五,你刚刚解决了一个很好的问题。
所有的进入框将通过SSL,只要你设置一个适当复杂的用户名/密码组合,这将是很难破解。