У нас есть задача поставить 1 ESXI на сервер, и поднять там 10-15 виртуалок. Своего белого IP у сервера нет, он получает его из локальной сети. Вопрос, как изолировать виртуалки друг от друга и локальной сети? Сейчас есть идея поставить виртуальный маршрутизатор типа Pfsense создать виртуальный адаптер без доступа к сети и засунуть туда все виртуалки вместе с маршрутизатором. Во вторую сеть с выходом в интернет будет смотреть только один маршрутизатор и esxi. То есть весь трафик из виртуалок идет только через маршрутизатор. Либо использовать VLAN`ны. Либо все таки связку esxi + vcenter + vgate. Какой вариант лучше и какими средствами это проще настроить?
Если нужно просто изолировать виртуалки, то мне кажется проще попробовать вариант с созданием виртуального свича в esxi без подключения его к физическим адаптерам, если я вообще правильно понял Вашу задачу. А вообще, если эту задачу необходимо решить сертифицированными средствами, то нужен vGate + лицензия ent+, что даст вам возможность использовать межсетевой экран гипервизора, который как раз и предназначен для защиты виртуальных машин.
@@IT_Propovednik задача состоит в подключении к виртуалкам из вне. На основном шлюзе есть белый ip, шлюз находится в подсети 192.168.2.ххх Esxi соответственно получает адрес из той же подсети. На тестовом стенде у нас стоял только esxi + pfsense + 2 тестовые виртуалки Esxi имел адрес 192.168.2.150, pfsense адрес 192.168.2.151. На самом pfsense был настроен DHSP который выдавал тестовым виртуалкам адреса из воего настраиваемого пула 10.0.0.1, 10.0.0.2 и тд. И был настроен проброс портов для RDP. При подключении по RDP к адресу маршрутизатора с указанием нужного порта мы попадали напрямую к одной из виртуалок. Проблема в том что из этих виртуалок, зная ip любой машины из локальной сети 192.168.2... можно было к ним подключится, как именно заблокировать это средствами pfsense или esxi до конца не разобрались.
@@IT_Propovednik в одном из своих видео вы показывали довольно многокомпонентный тестовый стенд для vgate который включал в себя маршрутизатор на windows server, интересно было бы посмотреть подробнее как именно у вас это было реализовано и какими средствами.
Как это сделать средствами pfsense я не знаю, но еще раз Вам говорю про межсетевой экран в vGate, который работает на уровне гипервизора, там Вы можете настраивать межсетевое экранирование виртуальных машин
Очень большая работа, даже не сильно вдумываясь зачем всё это и кому... Просто ужас :-) Одно я только не понял, если не подключены к агенту и правила не распространяются, почему там "агенты" на сферах не блокируют всё подряд, как то не логично? Понятно что там обязательная "прослойка" должна быть как раз которая отвечает за это, но всё равно немного не правильно т.к. получается всё что нужно чтоб обойти, это "пар-но" подключиться и всё - мы в сети. Это же дело нескольких секунд попадании молнии в здания :-))) Но наверно это пока по тому, что несерьёзность пока больше чем серьёзность. А полезность всё же есть. Спасибо за то что тратите время, чтоб показать как это выглядит.
Ну вот в этом и есть основной момент, который многие упускают, что нужно запретить как-то весь трафик напрямую к vCenter и ESXi, а разрешить только через vGate.... ну так он работает ). Трафик именно управления.
Спасибо большое, интересно очень, особенно тем, кто впервые сталкивается с vgate.
очередной раз, спасибо!
У нас есть задача поставить 1 ESXI на сервер, и поднять там 10-15 виртуалок. Своего белого IP у сервера нет, он получает его из локальной сети. Вопрос, как изолировать виртуалки друг от друга и локальной сети? Сейчас есть идея поставить виртуальный маршрутизатор типа Pfsense создать виртуальный адаптер без доступа к сети и засунуть туда все виртуалки вместе с маршрутизатором. Во вторую сеть с выходом в интернет будет смотреть только один маршрутизатор и esxi. То есть весь трафик из виртуалок идет только через маршрутизатор. Либо использовать VLAN`ны. Либо все таки связку esxi + vcenter + vgate. Какой вариант лучше и какими средствами это проще настроить?
Если нужно просто изолировать виртуалки, то мне кажется проще попробовать вариант с созданием виртуального свича в esxi без подключения его к физическим адаптерам, если я вообще правильно понял Вашу задачу. А вообще, если эту задачу необходимо решить сертифицированными средствами, то нужен vGate + лицензия ent+, что даст вам возможность использовать межсетевой экран гипервизора, который как раз и предназначен для защиты виртуальных машин.
ruclips.net/video/v_URCeHWpPc/видео.html
@@IT_Propovednik задача состоит в подключении к виртуалкам из вне. На основном шлюзе есть белый ip, шлюз находится в подсети 192.168.2.ххх
Esxi соответственно получает адрес из той же подсети. На тестовом стенде у нас стоял только esxi + pfsense + 2 тестовые виртуалки Esxi имел адрес 192.168.2.150, pfsense адрес 192.168.2.151. На самом pfsense был настроен DHSP который выдавал тестовым виртуалкам адреса из воего настраиваемого пула 10.0.0.1, 10.0.0.2 и тд. И был настроен проброс портов для RDP. При подключении по RDP к адресу маршрутизатора с указанием нужного порта мы попадали напрямую к одной из виртуалок. Проблема в том что из этих виртуалок, зная ip любой машины из локальной сети 192.168.2... можно было к ним подключится, как именно заблокировать это средствами pfsense или esxi до конца не разобрались.
@@IT_Propovednik в одном из своих видео вы показывали довольно многокомпонентный тестовый стенд для vgate который включал в себя маршрутизатор на windows server, интересно было бы посмотреть подробнее как именно у вас это было реализовано и какими средствами.
Как это сделать средствами pfsense я не знаю, но еще раз Вам говорю про межсетевой экран в vGate, который работает на уровне гипервизора, там Вы можете настраивать межсетевое экранирование виртуальных машин
Очень большая работа, даже не сильно вдумываясь зачем всё это и кому... Просто ужас :-)
Одно я только не понял, если не подключены к агенту и правила не распространяются, почему там "агенты" на сферах не блокируют всё подряд, как то не логично? Понятно что там обязательная "прослойка" должна быть как раз которая отвечает за это, но всё равно немного не правильно т.к. получается всё что нужно чтоб обойти, это "пар-но" подключиться и всё - мы в сети. Это же дело нескольких секунд попадании молнии в здания :-)))
Но наверно это пока по тому, что несерьёзность пока больше чем серьёзность. А полезность всё же есть.
Спасибо за то что тратите время, чтоб показать как это выглядит.
Ну вот в этом и есть основной момент, который многие упускают, что нужно запретить как-то весь трафик напрямую к vCenter и ESXi, а разрешить только через vGate.... ну так он работает ). Трафик именно управления.