VMware Global Community
UffTec
Contributor
Contributor
‎02-10-2012 01:23 AM
Jump to solution

Consiglio per configurare rete

Ciao, avrei bisogno di un consiglio per la corretta configurazione di rete di 3 host da installare presso un datacenter.

La mia esperienza attuale si basa su due tipi diversi di gestione degli host.

Uno di questi host 4.1  è presso un datacenter estero,  ha un ip pubblico del tipo

ip: 81.82.83.84         mi hanno poi fornito 3 ip pubblici addizionali

91.92.193.94/5/6

255.255.255.0

91.92.93.1 (gateway)

Ho scaricato vsphere client, installato il firewall ipcop come vm,creato un vSwitch per la dmz e configurato il lato wan 91.92.93.94  , poi il  lato lan 192.168.1.254, tutte la vm sulla classe 192.168.1.x con gateway 192.168.1.254.

In caso di problemi sulla vm firewall potevo intervenire con vsphere client sull'host per riavviarla, ripristinarla da un backup etc.

Ad ogni modo avevo la doppia opzione di gestire sia l'host che il firewall, quindi l'accesso all'uno o all'altro era sempre garantito, salvo gli eventuali down dellhost gestiti però direttamente da console dal datacenter

La seconda e diffusa configurazione che ho è nei ced interni , tutti gli host su dmz interna dietro ai firewall hardware

Il mio dubbio e quindi la mia richiesta di un consiglio è sulla nuova struttura che devo realizzare.

Ho acquistato vsphere 5 essential, ho tre host , una san su cui risiedono le vm distribuite sui 3 host, un nas per il backup.

Devo installare e poi gestire queste macchine in un datacenter, il quale mi ha fornito 8 IP pubblici tipo

51.51.53.54              /55/56/57/58/59/60/61

255.255.254.0

51.51.52.1

Poichè ho già installato e configurato vSphere 5 sui tre host, vCenter su una vm interna , tutti con una classe di rete del tipo

192.168.10.x, e ho creato la vm firewall sulla quale volevo configurare la parte wan.

Però, in effetti, se mi cade quella vm io da remoto non entro più da nessuna parte, idem se ha problemi l'host, non accedo più a vCenter, e nemmeno all'host con un vsphere client poichè ha un ip interno.

Penso che la situazione sia abbastanza comune quindi volevo capire come si procede in questi casi.

Probabilmente la situazione normale sarebbe mettere a monte un firewall esterno ,  wan gestita dal firewall, in modo che attraverso vsphere client sui tre host riesco sempre ad arrivare (che porte dovrei aprire sul fw per connettermi direttamente all'host interno con un vsphere client dall'esterno?) e riavviarlo, aggiungere o spostare le vm etc

Alternative o suggerimenti?

Spero di aver spiegato bene la mia domanda

ciao

grazie

Reply
0 Kudos
1 Solution

Accepted Solutions
ldelloca
Virtuoso
Virtuoso
‎02-10-2012 02:01 AM
Jump to solution

Nessuna :smileysilly:

O meglio, io metterei un bel terminatore VPN sul firewall, che mi da accesso alla vlan di management dei nodi ESXi, e da li li controllo.

Evita di pubblicare le porte di connessione dei nodi ESXi direttamente su internet. 

Se poi vuoi provarci ugualmente:

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=101238...

sia messo agli atti però che io te l'avevo sconsigliato Smiley Happy

Ciao,

Luca.

Luca Dell'Oca | vExpert 2011-2012-2013-2014-2015-2016-2017, VCAP-DCD, CISSP #58353 | http://www.virtualtothecore.com | @dellock6 | http://www.linkedin.com/in/lucadelloca | If you find this post useful, please consider awarding points for "Correct" or "Helpful"

View solution in original post

Reply
0 Kudos
5 Replies
ldelloca
Virtuoso
Virtuoso
‎02-10-2012 01:35 AM
Jump to solution

Ciao,

i firewall virtualizzati sono una soluzione che si incontra, a patto però che la rete di management dei nodi ESXi sia out-of-band, e raggiungibile in altro modo.

Ti posso dire che nel nostro DC abbiamo un cluster firewall hardware a monte di tutto il networking, e la scelta è stata fatta per avere separazione fisica tra le due entità firewall e vsphere, sia per motivi di security, sia per gli eventuali problemi di raggiungibilità se come hai giustamente notato crolla uno dei nodi ESXi dove era ospitato il firewall, sia perchè i team che gestiscono firewall e vmware sono differenti.

Noto che hai vSphere Essentials, quindi senza HA, sicuramente HA ti darebbe maggiori garanzie visto che anche la VM che agisce da firewall verrebbe riavviata su un altro nodo. Senza HA a disposizione io terrei il firewall fuori da ESXi.

Ciao,

Luca.

Luca Dell'Oca | vExpert 2011-2012-2013-2014-2015-2016-2017, VCAP-DCD, CISSP #58353 | http://www.virtualtothecore.com | @dellock6 | http://www.linkedin.com/in/lucadelloca | If you find this post useful, please consider awarding points for "Correct" or "Helpful"
Reply
UffTec
Contributor
Contributor
‎02-10-2012 01:55 AM
Jump to solution

Grazie per la risposta Luca, ho avuto il dubbio dell'ultimo momento e tu me lo hai confermato.

MI procurerò un firewall hw e lascio tutto dietro come anche tu suggesci.

L'ultima domanda, che avevo scritto anche prima, io lavorerò prevalentemente con vCenter per cui in ts diretto sulla vm oppure via web.

Se invece volessi entrare direttamente sul singolo host con vSphere client da remoto, che porte devo configurare sul fw?

Reply
0 Kudos
ldelloca
Virtuoso
Virtuoso
‎02-10-2012 02:01 AM
Jump to solution

Nessuna :smileysilly:

O meglio, io metterei un bel terminatore VPN sul firewall, che mi da accesso alla vlan di management dei nodi ESXi, e da li li controllo.

Evita di pubblicare le porte di connessione dei nodi ESXi direttamente su internet. 

Se poi vuoi provarci ugualmente:

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=101238...

sia messo agli atti però che io te l'avevo sconsigliato Smiley Happy

Ciao,

Luca.

Luca Dell'Oca | vExpert 2011-2012-2013-2014-2015-2016-2017, VCAP-DCD, CISSP #58353 | http://www.virtualtothecore.com | @dellock6 | http://www.linkedin.com/in/lucadelloca | If you find this post useful, please consider awarding points for "Correct" or "Helpful"
Reply
0 Kudos
UffTec
Contributor
Contributor
‎02-10-2012 02:07 AM
Jump to solution

Messaggio ricevuto Smiley Happy !!!

Farò come consigli

grazie

ciao

Mirko

Reply
0 Kudos
AndreTheGiant
Immortal
Immortal
‎02-16-2012 05:56 AM
Jump to solution

Nella versione 5 gli ESXi hanno un minimo di firewall che ti permette anche di creare ACL... Ma ad esempio non ti permette di bloccare l'ICMP.

Meglio è una VPN come già suggerito.

Andre | http://about.me/amauro | http://vinfrastructure.it/ | @Andrea_Mauro
Reply
0 Kudos