作为我以前的问题:我有一台 ESXi 服务器,正在将其移至一个主机托管设施,该设施为我提供单个 IP 地址。我想我将设置一个 VM,作为客户 VM 的路由器,我认为这一切都很顺利。我现在关心的是访问 VMWare 客户端来配置新的虚拟机。这在我看来毫无意义,但是:
我的 ESXi 主机也可以位于该 VM 路由器后面吗?
或者我的设置是否需要来自我的主机托管设施的 2 个 IP 地址?也就是说,一个 IP 地址用于配置我的虚拟机(直接用于 ESXi 主机),另一个用于访问客户虚拟机?
只是为了看看我来自哪里,以防我的问题不清楚:我当前的办公室设置中 ESXi 主机的 IP 地址类似于10.0.0.102。虚拟机从 开始10.0.0.103并上升。并且两者都位于物理路由器后面,其内部地址为10.0.0.1,外部地址类似于。是否可以让我的 VM 来宾在和网络98.x.x.x上双宿主,以便为我路由流量并访问 上的 VM 主机?98.x.x.x10.0.0.x10.0.0.102
答案1
(第三次重写)
你可以做其中的一部分。
您可以在 ESXi 系统上定义两个虚拟交换机。一个称为“内部”交换机,用于 10.xxx 内容;另一个称为“外部”交换机,用于已分配的单个 98.xxx 地址。
将一个物理以太网端口连接到“外部”vswitch。
定义一个带有两个以太网设备的防火墙虚拟机。将其中一个连接到“外部”虚拟交换机,并为接口分配您已获得的 98.xxx IP。将防火墙虚拟机的第二个以太网设备连接到“内部”交换机,并为其分配 10.xxx 子网上的 IP。这最终将成为该框中所有其他虚拟机的默认路由器。
您创建的每个其他虚拟机都应添加到具有 10.xxx 子网的“内部”vswitch,并使用防火墙的 10.xxx IP 作为其默认路由器。
将 ESXi 管理接口添加到具有 10.xxx 子网的“内部”vswitch,并使用防火墙的 10.xxx IP 作为其默认路由器。
将防火墙配置为从内部到外部的 NAT 流量。这将允许内部虚拟机与互联网通信。
现在,互联网无法与它们通信(即,如果您在 10.xxx 子网上有 Web 服务器),因为互联网对您的 10.xxx 子网一无所知,因此数据包永远不会到达您的内部虚拟机。此外,您可能已将防火墙配置为丢弃上述数据包,即使它们确实到达了您的系统。因此,您无法通过互联网“路由”到您的虚拟机。
因此,您可能想要执行以下一项或两项操作:
- 在防火墙虚拟机的外部接口上设置一个或多个端口转发,以将入站流量传回特定虚拟机。例如,您可以将防火墙外部接口上的端口 80 转发回 Web 服务器虚拟机,并将端口 981(可能?可能是其他端口,请查看手册)转发回 ESXi 服务器上的管理接口。
和/或
- 从您所在的位置设置到防火墙 VM 的 VPN,并将流量通过该 VPN 直接路由到“内部”网络。
出于设置目的,如果您有两个物理接口,则可以将第二个物理接口添加到“内部”vswitch。这意味着如果您确实可以物理访问系统,您可以将笔记本电脑(可能通过交叉电缆)直接插入“内部”网络并直接配置。如果防火墙 VM 因某种原因死机,这还将为您提供紧急访问权限。