限制对 ESXi 机器的访问以便只能从某些主机使用 VSphere 客户端进行管理的最佳选项是什么?
我知道没有内置防火墙,每个人都建议将 ESXi 机器放在防火墙后面,但是当这不是一个选项时...还有其他选择吗,例如使用 hosts.allow/deny 或其他任何选项?或者我最好使用 ESX 而不是 ESXi?
编辑:在给定的情况下,我无法添加任何额外的硬件或使用诸如托管交换机之类的东西。
答案1
是否可以配置 ESXi 计算机的网络以创建与这些 IP 地址或块匹配的静态路由,并将它们路由到本地主机?这将有效消除流量传回这些主机的机会。
答案2
如果 ESX 主机插入托管交换机,您可以构建一个访问列表,以允许特定主机访问 vsphere 监听的任何目标端口,然后拒绝所有其他主机。
答案3
我今天已经考虑过这个问题,虽然这并不完全是你想要的,但我认为这是我能想到的最好的办法。
设置 2 个网络,一个接口指向不受信任的网络,另一个接口未连接到称为“受信任的网络”的物理接口
安装内置 VPN 的防火墙解决方案(例如 Smoothwall),其中 RED 网络指向不受信任的网络接口,并安装不受信任的网络地址范围内的静态 IP 地址
在刚刚创建的受信任网络内创建一个新的 VMKernel 接口。
创建从不受信任网络到具有源地址权限的受信任网络的端口映射
通过防火墙上的端口映射运行指向受信任网络内的新 VMKernel 接口的 Vsphere 客户端
删除在不受信任的接口上运行的 VMKernel。
喝一杯凉爽的琥珀色液体,因为今天是星期五,你刚刚解决了一个好问题。
答案4
所有进入该盒子的访问都将通过 SSL 进行,只要您设置了适当复杂的用户名/密码组合,就很难破解。