虛擬機後面的 ESXi
正如我之前的問題的後續:我有一個 ESXi 伺服器,我正在移動到一個為我提供單個 IP 地址的託管設施。我想我會去設置一個虛擬機,作為我的來賓虛擬機的路由器,我認為所有這些都是肉汁。我現在關心的是訪問 VMWare 客戶端來配置新的虛擬機。這在我的腦海中沒有意義,但是:
我的 ESXi 主機也可以位於該 VM 路由器後面嗎?
或者我的設置是否需要來自我的託管設施的 2 個 IP 地址?也就是說,一個 IP 地址用於配置我的虛擬機(直接是 ESXi 主機),另一個用於訪問來賓虛擬機?
只是想看看我來自哪裡,以防我的問題不清楚:我目前的辦公室設置的 ESXi 主機的 IP 地址類似於
10.0.0.102. 虛擬機開始10.0.0.103並上升。兩者都位於內部地址為 的物理路由器後面,10.0.0.1外部地址為98.x.x.x。是否可以讓我的虛擬機訪客在98.x.x.x和10.0.0.x網路上為我路由流量並訪問我的虛擬機主機10.0.0.102?
(第三次改寫)
你可以做到這一點。
您可以在 ESXi 系統上定義兩個虛擬交換機。為 10.xxx 的東西呼叫一個“內部”,為您分配的單個 98.xxx 地址呼叫一個“外部”。
將一個物理乙太網埠連接到“外部”vswitch。
定義具有兩個乙太網設備的防火牆 VM。將一個連接到“外部”vswitch,並為介面分配您已獲得的 98.xxx IP。將防火牆 VM 的第二個乙太網設備連接到“內部”交換機,並在 10.xxx 子網上為其分配一個 IP。這最終將成為盒子上所有其他虛擬機的預設路由器。
您創建的每個其他 VM 都應添加到具有 10.xxx 子網的“內部”vswitch,並使用防火牆的 10.xxx IP 作為其預設路由器。
將 ESXi 管理介面添加到具有 10.xxx 子網的“內部”vswitch,並使用防火牆的 10.xxx IP 作為其預設路由器。
將防火牆配置為從內部到外部的 NAT 流量。這將允許內部 VM 與 Internet 通信。
現在在這一點上,網際網路無法與他們對話(即,如果您在 10.xxx 子網上有一個 Web 伺服器),因為網際網路對您的 10.xxx 子網一無所知,因此數據包永遠不會到達您的內部虛擬機。此外,您可能已將防火牆配置為丟棄所述數據包,即使它們確實進入了您的系統。所以你不能通過網際網路“路由”到你的虛擬機。
因此,您可能想要執行以下一項或兩項操作:
- 在防火牆 VM 的外部介面上設置一個或多個埠轉發,以將入站流量傳回特定 VM。因此,例如,您將防火牆外部介面上的埠 80 轉發回您的網路伺服器虛擬機,並將埠轉發埠 981(也許?可能是別的東西,查看您的手冊)返回到您的 ESXi 伺服器上的管理界面。
和/或
- 從您所在的任何地方設置一個 VPN 回到防火牆虛擬機,並將通過該虛擬機的流量直接路由到“內部”網路。
出於設置目的,如果您有兩個物理介面,則可以將第二個物理介面添加到“內部”vswitch。這意味著如果您確實可以物理訪問系統,則可以將筆記型電腦(可能通過交叉電纜)直接插入“內部”網路並直接進行配置。如果防火牆 VM 因某種原因當機,這也將為您提供緊急訪問權限。