Virtualisierung/mehrere VMs auf Internet Host

  • Hallo,

    ich habe beruflich viel mit Virtualisierung, Routing, Firewall, Remotezugänge und ähnlichem zu tun.
    Eines meiner letzten Projekte ist vielleicht für den einen, anderen auch interessant, der schon immer mal ähnliches umsetzen wollte, aber nicht den richtigen Ansatz fand.
    Gesucht war ein "neuer Standort", an dem einige unserer angebotenen Dienste gehostet werden.
    Rausgekommen ist folgendes, auf einem normalem gehostetem Server im Internet (ca. 70€/Monat) , mit 4 Cores, 32 GB RAM, 2 TB Raid1, KVM Switch.

    [Blocked Image: http://img4web.com/i/VQKK2.gif]

    Wichtig ist ein KVM Switch (over IP). Dieser gewährleistet bei der Einrichtung des Hypervisors ESXi free und im Fehlerfall den Zugriff auf das komplette System.

    Es gibt das externe Netzwerk "INTERNET" und mehrere interne Netzwerke "PROTECTEDN". Im Prinzip ähnlich, wie auch unsere "echten" Standorte aufgebaut sind.
    Um möglichst flexibel und erweiterungsfähig vorbereitet für voneinander abgeschottete Anwendungen zu sein, laufen die internen Netzwerke PROTECTEDN jeweills in einem eigenen, isolierten Sicherheitskontext.
    Im Netzwerk INTERNET hängt nur die VM firewall (eigenes iptables Skript). Sie verbindet die internen Netzwerke PROTECTEDN (mit privaten Adressen) mit dem Internet und untereinander und lässt nur konfigurierte Verbindungen (iptables) zu.
    Auf der VM firewall läuft gleichzeitig OpenVPN, über einen OpenVPN-Tunnel ist der volle Zugriff auf die internen Netzwerke PROTECTEDN möglich. So, unter anderem auf PROTECTED1, wo die ESXi Konsole läuft.
    Alle verfügbaren Internet IPs werden der Firewall zugewiesen, via Portforwarding auf die VMs regelt sie den Zugriff auf die für's Internet angebotenen Dienste.
    Im DNS verweisen alle benötigten Namen auf die IP-Adresse(n) der VM firewall.
    Das Konzept kann flexibel ausgebaut werden, ist mandantenfähig oder auch "freundefähig", man könnte sich mit ein paar Freunden die Ressourcen eines Host teilen.

    Gruß,
    wla

    Edited 3 times, last by wla (August 5, 2015 at 8:20 AM).

  • Wichtig ist die KVM Konsole.


    So ähnlich konfigurieren wir bei unseren Kunden den ESXi, wenn DMZ gefordert wird (z.B. mit KerioControl) mit dem Unterschied, dass zu jeden Switch ein separater Adapter genommen wird.

    Neu ist mir allerdings die verblüffende Ähnlichkeit der KVM Konsole zu dem vSphere Client. ;)

    Albert

    Signatur

    HD-VDR | yaVDR 0.5.0 | Cooltek AH-01 | Intel DH67BL | i3-2100 + Kozuti | 4GB | Zotac GT630 | 60GB SSD + 1TB 2,5" | L4M-Twin S2 6.2 | Harmony ONE+ CIR | Samsung UE40C6200
    SD-VDR | yaVDR 0.3.2 | MSI Hermes 845GV | P4 2,53 | 2GB | 250GB | TT Premium S-2300 RGB + TT-budget | SCR/Unicable | ausgeborgt
    HD-W10 | DVBViewer Pro | Bluechip MT tuned | Core i7 | 16GB | GTX 960 | 240GB SSD + 2TB | TT S2-3200 | X10

  • Quote

    So ähnlich konfigurieren wir bei unseren Kunden den ESXi, wenn DMZ gefordert wird (z.B. mit KerioControl) mit dem Unterschied, dass zu jeden Switch ein separater Adapter genommen wird.

    Ist hier doch genauso, nur dass ein externer Adapter nicht benötigt wird, da nur VMs am (v)Switch hängen.

    Quote

    Neu ist mir allerdings die verblüffende Ähnlichkeit der KVM Konsole zu dem vSphere Client. ;)

    Dies ist der vSphere Client.

  • Dies ist der vSphere Client.


    Schon klar, deswegen spreche ich es an. Was ich nicht verstehe ist Dein Satz:

    Wichtig ist die KVM Konsole. Sie gewährleistet bei der Einrichtung des Hypervisors ESXi free und im Fehlerfall den Zugriff auf das komplette System.


    Wofür, bzw. inwiefern ist die KVM Console "wichtig"? Du richtest einen einzigen ESXi entweder mit der vSphere Client oder ab der Version 5.5 (ab vmx-10) mit dem Web Client ein. Mir ist es nicht bekannt, dass die KVM Console es auch kann. Irre ich mich?

    Albert

    Signatur

    HD-VDR | yaVDR 0.5.0 | Cooltek AH-01 | Intel DH67BL | i3-2100 + Kozuti | 4GB | Zotac GT630 | 60GB SSD + 1TB 2,5" | L4M-Twin S2 6.2 | Harmony ONE+ CIR | Samsung UE40C6200
    SD-VDR | yaVDR 0.3.2 | MSI Hermes 845GV | P4 2,53 | 2GB | 250GB | TT Premium S-2300 RGB + TT-budget | SCR/Unicable | ausgeborgt
    HD-W10 | DVBViewer Pro | Bluechip MT tuned | Core i7 | 16GB | GTX 960 | 240GB SSD + 2TB | TT S2-3200 | X10

  • KVM, damit meinte ich "keyboard, video and mouse". Du meintest sicherlich "Kernel-based Virtual Machine".
    Gemeint ist die Konsole des Servers, welche über IP erreichbar ist, für die volle Kontrolle des Servers.

  • ich hab das mal in den Serverbereich verschoben.
    Bitte den Präfix noch anpassen, denn den gibt es hier.

    Gruß Dirk

    Dirk

    Meine Signatur

    :]Heute ist nicht alle Tage, ich schreib wieder, keine Frage :]
    VDR1: Silverstone LC14M, AMD X2-BE2350,2GB/1,5TB,DVB-s/s2/c,Gentoo,Kernel 3.8.5,VDR-2.0.0
    VDR2: Silverstone GD05B, Intel G2020, Asrock B75-Pro3M, Asus GT610/2G, 8GB/1TB, YAVDR 0.5
    VDR3: Silverstone ML03, Intel G2020, Asrock B75-R2, 8GB/1TB

  • KVM, damit meinte ich "keyboard, video and mouse". Du meintest sicherlich "Kernel-based Virtual Machine".


    OK und sorry. Wenn ich Virtualisierung und KVM lese, dann klingt es für mich nach "Kernel-based Virtual Machine" (pawlowscher Reflex). Auf einem KVM Switch wäre ich nie gekommen. Ich kenne es nur unter den Begriff: "KVM Switch" auch wenn es einen Bildschirm besitzt. Na gut komplett eben KVM Console. ;)

    Albert

    Signatur

    HD-VDR | yaVDR 0.5.0 | Cooltek AH-01 | Intel DH67BL | i3-2100 + Kozuti | 4GB | Zotac GT630 | 60GB SSD + 1TB 2,5" | L4M-Twin S2 6.2 | Harmony ONE+ CIR | Samsung UE40C6200
    SD-VDR | yaVDR 0.3.2 | MSI Hermes 845GV | P4 2,53 | 2GB | 250GB | TT Premium S-2300 RGB + TT-budget | SCR/Unicable | ausgeborgt
    HD-W10 | DVBViewer Pro | Bluechip MT tuned | Core i7 | 16GB | GTX 960 | 240GB SSD + 2TB | TT S2-3200 | X10

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!