Я хотел бы разместить свой сервер VMware ESXi 4.1 в центре обработки данных, но меня беспокоит, что назначение общедоступного IP-адреса хосту для обеспечения удаленного управления по сети (с клиентом VMware vSphere или SSH) может сделать сервер уязвимым для атак. Есть ли лучший / более безопасный способ для человека с ограниченным бюджетом удаленно управлять сервером VMware ESXi 4.1 через сеть? Обратите внимание: у меня нет доступа к брандмауэру для настройки VPN.
Нет никакого способа сделать это эффективно. ESXi имеет встроенный брандмауэр, поэтому теоретически вы можете заблокировать интерфейс управления для своих удаленных IP-адресов, но если ваш IP-адрес когда-либо изменится ... очень плохо.
Вы необходимость чтобы иметь возможность подключиться к сети через VPN и поместить интерфейс ESXi в частную сеть.
Рассматривали ли вы бесплатный брандмауэр, такой как PFSense? Вы можете рассмотреть возможность запуска его как виртуальной машины на том же сервере, если вы не хотите выделять ящик или, возможно, нести дополнительные ежемесячные расходы в центре обработки данных.
Эмм ...
И если причина, по которой вы хотите подключиться к хосту ESXi, связана с неисправностью - или вам нужно выключить виртуальные машины, чтобы применить исправление или изменение конфигурации к самому ESXi, но ваш единственный путь был через одну из указанных виртуальных машин, не делайте этого. Есть ли у вас проблемы?
У нас такая же ситуация. У нас есть виртуальная машина под управлением pfSense, которую мы используем для повседневного доступа к VMware и виртуальным машинам.
Для аварийного доступа мы используем службу VPN, предоставляемую нашим коллокатором, которая позволяет одному пользователю войти в систему и получить доступ только к интерфейсу управления VMware.
В нашей первоначальной настройке был выделенный брандмауэр - это то, что я рекомендую вам получить, если вы не можете получить доступ к VPN через свой коллокатор. Мы больше этого не делаем по той простой причине, что он умер.
Я бы сказал, поместите хост ESXi в частную сеть и получите безопасный доступ через VPN к частной сети. Потому что тогда вы не открываете хост ESXi напрямую в общедоступной сети. Кто-то должен сначала взломать вашу службу VPN, чтобы даже увидеть хост ESXi. Вы уменьшаете вероятность использования вашего хоста ESXi. Я бы сказал, что использование хороших паролей - очевидное дело.