ESXi :: ASA NAT + Switch :: .27 IP 塊上的設置
剛剛購買了 ASA 5505 和單獨的千兆交換機,以及戴爾 R610 虛擬化伺服器來替換現有的裸機 Web 伺服器。
將有 2 台物理機,執行 ESXi 4.1 的 R610 和一台備份伺服器(舊 SC 1435)。
R610 有 2 個雙埠網卡,都將連接到交換機,備份伺服器也將連接到交換機,並且交換機將連接到 ASA,因此:
上行鏈路 >> ASA >> 交換機 >> 2 個伺服器
我感到困惑的是如何處理我擁有的 30 個 IP 塊。
將進行 ASA 設置的數據中心工程師建議:
**************** 66.xxx.47.96/27 Network: 66.xxx.47.96 Gateway: 66.xxx.47.97 Firewall: 66.xxx.47.98 Switch: 66.xxx.47.99 Name Server 1: 66.xxx.47.100 Name Server 2: 66.xxx.47.101 Backup Server: 66.xxx.47.102 First Usable for production server: 66.xxx.47.103 Last Usable for production server: 66.xxx.47.126 Broadcast: 66.xxx.47.127 ****************
我正在考慮將 NIC1 埠 1 用於控制台管理器的 ESXi 伺服器;用於開發虛擬機的 NIC1 埠 2;NIC2 埠 1 用於 LAMP 生產虛擬機(即現有的裸機 Web 伺服器)和 NIC2 埠 2 用於 Rails/Grails 虛擬機
目前的 Web 伺服器只使用 6 個 IP,所以顯然我有一些靈活性。
我只是不想讓自己陷入困境,您如何將 .103~.126 IP 分配給 ESXi 4 NIC 埠?此外,如果名稱伺服器超出 ESXi 的偵聽範圍,DNS 請求將如何路由到 ESXi 上的目標 VM?
非常感謝的想法…
謝謝!
你到底為什麼要把你的開關等放在公共網際網路上?那是瘋狂的味道。
我強烈建議您有兩個 VLAN - 一個用於您的內部流量(例如 192.168.xx),然後一個 DMZ 用於您的公共流量(您的 66.x.47.x 範圍)。
從安全的角度來看,將備份伺服器和交換機放在公共網路上是沒有意義的。這只是自找麻煩。
ESXi 支持 vNIC 的 VLAN 標記,因此只需為您的虛擬機分配兩個 vNIC,一個在專用網路上,一個在公共網路上,應該不是問題。然後只需將您的公共 IP 地址分配給需要它們的虛擬機。
一天結束時你會想要的是這樣的東西:
(來源:stackoverflow.com)
至於 ESXi 不“知道”的請求,將照常通過您的預設網關進行路由。您的網關應該足夠聰明,知道這些 IP 地址在其自己的網路上(正確配置的 Cisco ASA 非常智能),因此它將它們路由回您(最好在具有公共 IP 地址的 vLAN 上)。這與任何其他網路沒有什麼不同,也不僅僅針對 ESXi。