iT邦幫忙

0

(急)ESXi與網路連線問題

因為上級要求,在A公司架設了ESXi與兩台VM(AP、DB),使用A公司的內部ip

現在的需求是:
1.用戶可以從外部連到A公司的AP
2.管理員可以從B公司連A公司的ESXi進行VM管理

請問:
1.因為只有申請一個對外IP,請問我應該設定對應到ESXi還是AP上呢?
2.如果是用IP分享器,那應該要怎麼設定才對呢?

因為小弟不是很熟悉網路概念,用詞可能不是很專業,還請大大們見諒...
感謝

12
nerco7114
iT邦新手 3 級 ‧ 2014-08-21 11:46:48
最佳解答

看起來您公司兩個點沒有建VPN

請問您的AP Server是做什麼服務,用戶端是走什麼通道連到該台Server(遠端桌面3389嗎?)

假如是3389 port,這還要看您的IP分享器是否有NAT功能

將外部IP 3389 port對應到內部AP Server IP

然後將外部IP 902和443 port對應到內部ESXI Server IP

這樣您就可以同時管理ESXI及連線到AP

重點是用一個外部IP就可以做到~~~

uraki55 iT邦新手 5 級 ‧ 2014-08-22 10:09:17 檢舉

感謝回答~
已經請人幫忙且方法和您說的一樣~

0

建議是在防火牆做設定
還有就是跟上級反映
需要換多固定IP的連線方式

通常ESXi主機都是透過Vsphere Client去統一管理

只要port 902和443有開,就可以連到此系統去做ESXi的管理

看更多先前的回應...收起先前的回應...
uraki55 iT邦新手 5 級 ‧ 2014-08-21 11:19:58 檢舉

感謝回覆,小弟也知道是要藉由Vsphere Client去連到ESXi做管理,
但是現在小弟比較不懂的是,因為只申請一個對外IP,
如果將對外IP對應到ESXi,則客戶可能沒辦法連到AP
但如果對應到AP,管理員又沒辦法透過Vsphere Client連到ESXi

所以才想到如果用IP分享器的話,有沒有辦法同時解決上述兩種情況

James iT邦大師 7 級 ‧ 2014-08-21 14:13:39 檢舉

IP分享器的這種功能通常叫做虛擬伺服器,不過缺點是沒辦法指定只能由B公司連到ESXi主機,風險實在太大建議還是買台UTM設備。
http://www.synnex.com.tw/asp/fae\_qadetail.asp?topic=fae&seqno=15987

okra iT邦研究生 3 級 ‧ 2014-08-21 23:34:42 檢舉

bruck 說:

風險實在太大

感覺版大的確不是很熟悉網路概念,也不是很熟悉遠端管理和ESXi的CLI。
想要設置在DMZ的VM的AP掛掉,一個對外IP就足夠了~

uraki55 iT邦新手 5 級 ‧ 2014-08-22 10:07:37 檢舉

是啊,本來就不是很熟悉了還被硬要求做,自然是做的問題一堆...orz
還是謝謝回覆~

okra iT邦研究生 3 級 ‧ 2014-08-22 16:19:36 檢舉

沒有幫忙到,版大不必客氣~
有兩本實作的書,建議有閒可以讀一下子:
http://www.books.com.tw/products/0010583457
http://www.books.com.tw/products/F013125630
VMware® ESXi™ 5.5 推出後,有些工 vSphere Client 做不來了, ESXCLI 沒歹吉,建議學一下子。

uraki55 iT邦新手 5 級 ‧ 2014-08-27 09:53:30 檢舉

感謝okra大推薦好書~
我還是先把5.1打好基礎後再談5.5吧~

okra iT邦研究生 3 級 ‧ 2014-08-27 22:45:09 檢舉

版大客氣總是要等到考試以後才知道該念的書還沒有念~
讀書是學習,實作是更重要的學習。版大這被公司硬硬來要做的是久久才會做一次的工,如果假手他人,就是放棄了上手的機會,下回可能還是有心無力。
只有一個 ESXi 主機使用 ESXCLI 升級5.1到5.5是分分中搞定的事。版大如果想 hands on,我可以分享 a brief note~

0
u8526425
iT邦大師 1 級 ‧ 2014-08-21 11:01:19

外部vSphere client直連ESXi
外部WEB client直連ESXi (不過感覺你使用免費版, 這條路不通)
外部使用RDP或其他遠端管理手法至內部跳板主機進行控制
兩端用VPN打通
隨著你想要走的路途不同
設定方式也不同

0
empyrean
iT邦新手 1 級 ‧ 2014-08-21 17:37:03

只有一個IP的話

看看AP是否有VPN功能..

讓大家都連到AP做成區網..

事情應該就簡單多了

0
ctipde
iT邦高手 1 級 ‧ 2014-08-21 18:04:34

現在的IP分享器大部份都具備了NAT的功能(可以設定連接到哪個Port),所以單一IP其實就可以完成你的需求
但是考量到資訊安全方面,建議A、B公司申請VPN通道(每一家的ISP都有服務可以問一下)這樣管理ESXi就較為安全
而使用者要連到VP就只要設定一下NAT連線到AP設定PORT其餘PORT都關閉,要管理ESXi則直接使用VPN通道
多組IP個人是覺得不太需要

0
enen1980
iT邦研究生 1 級 ‧ 2014-08-22 09:11:25

1.用戶可以從外部連到A公司的AP
2.管理員可以從B公司連A公司的ESXi進行VM管理

<---其實都是相同問題吧~~

1.請問FIREWALL 是什麼MODEL?? 可以幫你找INSTRUCTION.
2.請檢查SWITCH 有沒有設VLAN??
REMARK# 以上兩樣都需要ADMIN USER PERMISSION.

0
btl1314
iT邦新手 5 級 ‧ 2014-08-22 09:56:00

使用具有NAT及防火牆功能的IP分享器,可以將同一個外部IP的65535個port,
分別對應用內部不同ip且不同的port上面,如下:
1.1.1.1:1902 → 192.168.10.1:902
1.1.1.1:1022 → 192.168.10.2:22
接著再設定只有B公司的外部IP才可以連接1.1.1.1:1902。
這樣子就可以達到你的需求了。

我要發表回答

立即登入回答