Назад | Перейти на главную страницу

Серверы ESX в DMZ

У меня два сервера ESX 3.5 в DMZ. Я могу получить доступ к этим серверам через любой порт моей локальной сети через VPN. Серверы в DMZ не могут инициировать обратное подключение к локальной сети по очевидным причинам. У меня есть сервер vCenter в моей локальной сети, и я могу нормально подключиться к серверам ESX. Однако серверы ESX затем пытаются отправить контрольный сигнал обратно на сервер vCenter по UDP / 902 - очевидно, что это не вернется на сервер vCenter, который затем помечает серверы ESX как не отвечающие и отключается.

Я могу придумать два основных решения:

1) Попробуйте указать vCenter игнорировать отсутствие пульса. Лучшее, что я могу здесь сделать, это отложить отключение на 3 минуты.

2) Попробуйте какое-нибудь умное сетевое решение. Однако я снова в растерянности.

Примечание. Сервер vCenter находится в локальной сети, и ему нельзя присвоить общедоступный IP-адрес, поэтому обратно правила брандмауэра работать не будут. Кроме того, я не могу настроить VPN из DMZ в LAN.

** Я добавляю следующее объяснение, которое я добавил в комментарии

Хорошо, возможно, это то, что я не очень хорошо объясняю. DMZ находится на удаленном сайте, в полностью независимой сети (сеть 1). Сервер vCenter находится в нашей офисной локальной сети (сеть 2). Сеть 2 может подключаться к любому компьютеру на любом порту в сети 1. Но сети 1 не разрешено инициировать подключение к сети 2. Любой трафик, направленный в сеть 2 из сети 1, отбрасывается брандмауэром, поскольку он является трафиком не- маршрутизируемый адрес. Единственное решение, которое я могу придумать, - это настроить VPN из сети 1 в сеть 2, но это неприемлемо.

Так у кого-нибудь есть какие-нибудь умные идеи?

J

Джеймс, почему бы не настроить хосты ESX в удаленном месте так, чтобы их гости находятся в DMZ, но сервисная консоль ESX и т. д. находится в подсети задней зоны, с которой вы можете установить VPN? Таким образом, ваши хосты будут изолированы от подключения к Интернету (что хорошо), но ваши гости могут продолжать работать с фронтальной стороны.

Что касается проблемы с удаленным сайтом ... вам действительно нужна связь между сайтами VPN, идущая здесь, между вашей внутренней LAN и удаленной (если возможно, не DMZ) подсетью.

Хорошо, у меня есть решение, которое работает, оно немного хрупкое, но тем не менее работает. Это требует, чтобы вы использовали хост в локальной сети в качестве «прокси».

на сервере esx (удаленная сеть) IP: 10.XX.XX.XX

1) / sbin / iptables -t nat -I ВЫХОД -p udp -s 10.XX.XX.XX --dport 902 -j DNAT --to 127.0.0.1

это перенаправляет udp на vCenter обратно на интерфейс обратной связи.

2) nc -u -l -p 902 | NC 127.0.0.1 1002

Это преобразует udp в tcp и отправляет его на localhost на порт 1002.

На esx-прокси (локальная сеть)

Настроить исходящие ssh-туннели

ssh -Nf -g -L 902: локальный хост: 902 -L 903: локальный хост: 903 -L 443: локальный хост: 443 10.XX.XX.XX

настроить обратный туннель для захвата udp, который вы преобразовали в tcp

ssh -Nf -R 1002: 127.0.0.1: 1002 10.XX.XX.XX

теперь конвертируем tcp на порту 1002 обратно в udp

nc -l -p 1002 | nc -u 10.ГГ.ГГ.ГГ 902

Где 10.YY.YY.YY - это сервер vCenter.

На сервере vCenter (локальная сеть)

подключитесь к прокси, как если бы вы подключались к реальному хосту.

И это, дамы и господа, позволяет вам подключиться к серверу esx в удаленной локальной сети, используя туннель ssh.

Также у меня есть расширенная инструкция, которая позволяет вам подключаться ко многим удаленным серверам esx, используя один и тот же прокси.

J

(Могу я поставить себе 50 баллов? :))

Также, если это «DMZ», тогда должна быть возможность иметь внутренние (но защищенные внутренним брандмауэром) адреса для портов сервисной консоли (и VMKernel и т. Д.) И иметь только внешние подключенные восходящие каналы, подключенные к внешнему брандмауэру (для ВМ Сетевые адаптеры с общедоступными IP-адресами). После этого должно быть безопасно открыть соответствующий порт для трафика UDP 902 на сервисную консоль ESX.

Даже во внутренней среде ваши сетевые адаптеры восходящего канала Service Console должны быть отделены от восходящих каналов рабочего порта виртуальной машины, в подобном сценарии, когда «должен» действительно становится «обязательным».

Я предполагаю, что у вас есть несколько сетевых адаптеров на серверах ESX и DMZ, а не ситуация с серверами ESX, находящимися за пределами одного брандмауэра. Если это так, то ответ Криса С. должен быть возможен.

Ваш брандмауэр не разрешает переадресацию порта с определенного IP (серверов ESX) на определенный внутренний IP (vCenter)? Большинство брандмауэров, которые я видел (кроме домашних), делают это. Или сделаете то же самое, выполнив переадресацию портов, а затем установив ACL (или что-то подобное), чтобы разрешить этот трафик только при определенных условиях (от серверов ESX).