Рекомендуемый способ настройки безопасной среды ESXi с общедоступным диапазоном и двумя сетевыми адаптерами

В двух словах:

1. Создайте (как минимум) два виртуальных коммутатора, один «общедоступный», подключенный к одной из сетевых адаптеров сервера, и один «частный», который не подключен к какой-либо физической сетевой карте.
2. Выберите подсеть RFC1918 для использования на частном vSwitch, например 10.0.0.0/24.
3. Установить pfSense на виртуальной машине назначьте ее интерфейс WAN общедоступному vSwitch, а его интерфейс LAN - частному vSwitch. Кроме того, назначьте порт управления VMware vKernel частному vSwitch.
4. Настройте VPN в pfSense вместе с соответствующей маршрутизацией для доступа к частной сети. OpenVPN довольно легко настроить, но IPsec тоже подойдет.
5. Для любых серверных виртуальных машин назначьте их интерфейс частной сети.
6. Создайте виртуальные IP-адреса в pfSense для остальных ваших общедоступных IP-адресов, затем настройте переадресацию портов для любых служб, которые вам нужны, чтобы люди могли получить доступ извне хоста.

На этом этапе виртуальная машина pfSense будет единственным способом передачи трафика извне на остальные ваши серверы и интерфейсы управления. Таким образом, вы можете указать очень конкретные правила о том, какой трафик разрешен, а какой заблокирован. Вы сможете использовать vSphere Client после подключения к VPN, настроенной на шаге 4.

Похоже, у вас нет вариантов, если все предложенные сценарии - добавление другого устройства (будь то маршрутизатор или другой компьютер в той же сети), покупка услуги VPN у вашего хостинг-провайдера или создание виртуальной машины на вашем хосте ESXi обработка трафика VPN не подходит.

Лучшее, что вы получите от ESXi, - это фильтр пакетов без сохранения состояния (доступен в ESXi5). Что я бы посоветовал здесь сделать:

• фильтровать все, кроме HTTPS (tcp / 443) и VMRC (tcp / 903) (и, возможно, SSH (tcp / 22), если вы работаете в режиме технической поддержки) - либо с помощью брандмауэра ESXi, либо попросив вашего хостинг-провайдера установить фильтры
• загрузить проверяемый сертификат (вам нужно будет получить его в общедоступном ЦС, если ваши станции управления имеют тенденцию меняться или у вас их много)
• установить сложные пароли для всех пользователей
• опубликовать интерфейс управления.

Поскольку даже домашний / SMB-маршрутизатор был бы лучше, чем ничего и недорого, не могли бы вы поставить что-то между своими системами ESX и внешней средой? Затем вы можете использовать маршрутизатор для переадресации только необходимых портов в системы и получить более безопасную систему ESX. Это было бы довольно просто и недорого. Вы могли бы, по крайней мере, заставить его работать относительно безопасно

Просто мое мнение ...

1. Сетевые петли в ESX вызывают беспокойство только в том случае, если вы используете виртуальные машины с двойным самонаведением, в остальном беспокоиться не о чем. Фактически, в типичной конфигурации ESX у вас есть как минимум две ссылки на каждый коммутатор, и они обычно активны / активны. Поэтому, если есть какой-либо возможный способ настроить вторую сетевую карту в частной сети, к которой можно получить доступ только через VPN, или каким-либо другим безопасным способом, то это правильный способ настроить это.
2. Поскольку ваши руки связаны, знайте, что у ESX есть брандмауэр. Поэтому я хотел бы убедиться, что он заблокирован, чтобы им можно было управлять только с помощью очень определенного диапазона IP-адресов. Вы захотите сделать это как для SSH, так и для вашей консоли с графическим интерфейсом. Если вы скажете, какую версию ESXi вы используете, я дам вам дополнительную информацию.
3. Pfsense выглядит как хорошая конфигурация, хотя, если бы вы могли найти способ даже поставить что-то небольшое, например Cisco ASA 5505, это было бы для вас миром улучшений.