Virtualisierung/mehrere VMs auf Internet Host

  • Hallo,


    ich habe beruflich viel mit Virtualisierung, Routing, Firewall, Remotezugänge und ähnlichem zu tun.
    Eines meiner letzten Projekte ist vielleicht für den einen, anderen auch interessant, der schon immer mal ähnliches umsetzen wollte, aber nicht den richtigen Ansatz fand.
    Gesucht war ein "neuer Standort", an dem einige unserer angebotenen Dienste gehostet werden.
    Rausgekommen ist folgendes, auf einem normalem gehostetem Server im Internet (ca. 70€/Monat) , mit 4 Cores, 32 GB RAM, 2 TB Raid1, KVM Switch.


    [Blocked Image: http://img4web.com/i/VQKK2.gif]


    Wichtig ist ein KVM Switch (over IP). Dieser gewährleistet bei der Einrichtung des Hypervisors ESXi free und im Fehlerfall den Zugriff auf das komplette System.


    Es gibt das externe Netzwerk "INTERNET" und mehrere interne Netzwerke "PROTECTEDN". Im Prinzip ähnlich, wie auch unsere "echten" Standorte aufgebaut sind.
    Um möglichst flexibel und erweiterungsfähig vorbereitet für voneinander abgeschottete Anwendungen zu sein, laufen die internen Netzwerke PROTECTEDN jeweills in einem eigenen, isolierten Sicherheitskontext.
    Im Netzwerk INTERNET hängt nur die VM firewall (eigenes iptables Skript). Sie verbindet die internen Netzwerke PROTECTEDN (mit privaten Adressen) mit dem Internet und untereinander und lässt nur konfigurierte Verbindungen (iptables) zu.
    Auf der VM firewall läuft gleichzeitig OpenVPN, über einen OpenVPN-Tunnel ist der volle Zugriff auf die internen Netzwerke PROTECTEDN möglich. So, unter anderem auf PROTECTED1, wo die ESXi Konsole läuft.
    Alle verfügbaren Internet IPs werden der Firewall zugewiesen, via Portforwarding auf die VMs regelt sie den Zugriff auf die für's Internet angebotenen Dienste.
    Im DNS verweisen alle benötigten Namen auf die IP-Adresse(n) der VM firewall.
    Das Konzept kann flexibel ausgebaut werden, ist mandantenfähig oder auch "freundefähig", man könnte sich mit ein paar Freunden die Ressourcen eines Host teilen.


    Gruß,
    wla

  • Wichtig ist die KVM Konsole.


    So ähnlich konfigurieren wir bei unseren Kunden den ESXi, wenn DMZ gefordert wird (z.B. mit KerioControl) mit dem Unterschied, dass zu jeden Switch ein separater Adapter genommen wird.


    Neu ist mir allerdings die verblüffende Ähnlichkeit der KVM Konsole zu dem vSphere Client. ;-)


    Albert

  • Quote

    So ähnlich konfigurieren wir bei unseren Kunden den ESXi, wenn DMZ gefordert wird (z.B. mit KerioControl) mit dem Unterschied, dass zu jeden Switch ein separater Adapter genommen wird.

    Ist hier doch genauso, nur dass ein externer Adapter nicht benötigt wird, da nur VMs am (v)Switch hängen.


    Quote

    Neu ist mir allerdings die verblüffende Ähnlichkeit der KVM Konsole zu dem vSphere Client. ;-)

    Dies ist der vSphere Client.

  • Dies ist der vSphere Client.


    Schon klar, deswegen spreche ich es an. Was ich nicht verstehe ist Dein Satz:


    Wichtig ist die KVM Konsole. Sie gewährleistet bei der Einrichtung des Hypervisors ESXi free und im Fehlerfall den Zugriff auf das komplette System.


    Wofür, bzw. inwiefern ist die KVM Console "wichtig"? Du richtest einen einzigen ESXi entweder mit der vSphere Client oder ab der Version 5.5 (ab vmx-10) mit dem Web Client ein. Mir ist es nicht bekannt, dass die KVM Console es auch kann. Irre ich mich?


    Albert

  • ich hab das mal in den Serverbereich verschoben.
    Bitte den Präfix noch anpassen, denn den gibt es hier.


    Gruß Dirk

    Dirk

  • KVM, damit meinte ich "keyboard, video and mouse". Du meintest sicherlich "Kernel-based Virtual Machine".


    OK und sorry. Wenn ich Virtualisierung und KVM lese, dann klingt es für mich nach "Kernel-based Virtual Machine" (pawlowscher Reflex). Auf einem KVM Switch wäre ich nie gekommen. Ich kenne es nur unter den Begriff: "KVM Switch" auch wenn es einen Bildschirm besitzt. Na gut komplett eben KVM Console. ;-)


    Albert