ESXi 5.5 management hosting környezetben

Virtualizáció

Hi,

Adott egy ESXi 5.5-ös gép 1 db publikus ip-vel és néhány LAMP-os vps-el.
Hogy lehet ezt okosan menedzselni ? Kérjek még egy publikus ip-t vagy húzzak VPN-t és privát tartományt adjak a management net-nek ?
Van erre valami best practice ?
Köszönöm!

  • 6445 megtekintés

( trey | 2014. 01. 08., sze – 17:47 )

Ha van rá lehetőség, akkor én VPN mögé tenném. Vagy ha internet, akkor csak fix IP-ről elérhetően.

--
trey @ gépház

( sfeher v | 2014. 01. 08., sze – 20:10 )

Az is érdekelne, hogy a publikus ip-t hova rakjam ? Ha egy VPS-re rakom é s onnét NAT-olok és az gép nem megy akkor nem érem el az ESXi-t.
Ha a management if-re rakom, akkor hogy oldom meg a port forwardot (80,443 helyből ütközik) ?

A management IP-t a VPS-ekkel nem nagyon tudod összekeverni - az ESXi nincs ilyen "spórolásra" felkészítve.
1 külön IP a managementnek, (min.) 1 IP egy gateway VPS-nek bridge-elt hálón és innét tudsz a VPS-ek között csinálni egy NAT-olt belső hálót.
A management IP persze hogy jobb lenne védett kapcsolaton, de nem tudom, ilyesmit mennyire biztosítanak a hosting szolgáltatók (magadnak megcsinálni macerás)

( NagyZ v | 2014. 01. 08., sze – 21:05 )

a management interfacet mindenkepp VPN moge raknam, a gepeket pedig egy kulon vSwitchre, kulon ifacere, a kulso IP-kkel.

kulon VLAN a legjobb, persze, a kerdes, hogy a szolgaltatonal lekezelik-e. altalaban amit lattam, ott az volt, hogy az ugyfel ugyan egy VLAN-ban volt, de a switchporton vegzodtettek, nem trunk volt.

ha meg arra gondoltal, hogy legyenek berakva egy "belso" VLAN-ba, azt egyreszt tudtommal csak a VXLAN tudja dVS-el, masreszt nincs hozza licensze tippre :)

1., Az ötlet jó!
2., A lehetséges plusz költség szükség esetén szerintem áthidalható: Én egy ilyen MikroTik-et (mondjuk egy "csupasz" RB450G-t) simán beépítenék fizikailag magába s szerverbe a táplálásával együtt -> 1 táp, 1 UTP :) (tudom, nem egy expert megoldás, de annyira az, amennyire 1 IP-re tenni ezt az egészet, vagy akár csak külön pub. IP-re tenni a management if-t)

( ncc1701 | 2014. 01. 09., cs – 09:04 )

Ezen anno marha sokat töprengtem. Oszt lett helyette Xen. :)

( pike.killer v | 2014. 01. 09., cs – 12:40 )

"Adott egy ESXi 5.5-ös gép 1 db publikus ip-vel és néhány LAMP-os vps-el."
Ha csak 1 IP-d van miért jó virtuális LAMP-os környezet?

( bognarattila | 2014. 01. 09., cs – 16:07 )

Hány fizikai interfészed van?

a) kérsz +1 IP címet a VMkernelnek, ide csak adott helyekről engedsz hozzáférni. Ha a VPS-eket "belülre" akarod tenni, akkor csinálsz legalább két VLAN-t: egyikben a külső IP címek vannak, másikban a belsők.

b) ha van legalább 2db fizikai interfészed, akkor elég egy külső IP cím is, ennek csinálsz egy dedikált VLAN-t. Csinálsz egy másik (vagy több) VLAN-t a VPS-eknek és csinálj egy VLAN-t a VMkernelnek egy külön vSwitch-re, aminek az uplinkje egy másik interfészn. A virtuális tűzfaladnak legyen egy lába ebben a VLAN-ba is.
Két lehetőséged van felügyelni a rendszert: a virtuális tűzfalon keresztül, vagy ha az nem fut (előfordulhat), akkor a fizikai interfészen keresztül. A fizikai interfészes kezelés történhet úgy, hogy odamész a helyszínre, vagy ha van rá mód, akkor másik gépbe bele lehet dugni. Mi most tesztelünk olyat, hogy egy RPi lóg egy gépből, a tápot USB-n kapja és mobilneten elérhető (a mobilnet elérhetőség térerő szempontjából még nem 100%, ezen még fejlesztünk valamit, de amúgy teljesen jó).

szerk: c) a kettő kombinációja (a második lehetőség rugalmas távoli hozzáférést biztosíthat bárhonnan tűzfal/vpn beállítástól függően úgy, hogy védett a VMkernel, csak gond esetén kell belépni ugródeszkázva az explicit engedélyezett IP címről; lehetőségeidtől is függ a döntés)