VMWare Esxi 基于NAT的管理端口转发
上一篇关于WMWare Esxi的文章介绍了在多台虚拟机之间用软路由共享一个IP的情况(VMWare Esxi + 海蜘蛛配置NAT共享IP上网),其中用了两个IP,一个用于虚拟机上网,一个用于Management Network。但是在只有一个公网IP的情况下,只能把这一个IP同时用于外网请求和管理。这里做法也不难,用软路由把管理要用到的端口转发就可以了。
续上一篇“配置NAT共享上网”的文章,本次实验在该例子上继续相关操作。
目的:一个公网IP(本例中为172.16.12.141),2台虚拟设备及管理网络共享该IP
系统环境:VMWare Esxi 5.5
软件环境:海蜘蛛软路由(v8),VMWare vSphere Client 5.5,操作系统镜像
步骤详解:
1. 原始网络拓扑
回顾上一例最终的网络拓扑:
其中,vSphere使用172.16.12.140登录。
2. 创建管理端口组
在【配置】-【网络】中,右上角【添加网络】-【VMKenel】,下一步,选择【vSwitch1】,下一步,勾选【使用该端口组来管理流量】(网络标签根据需要可改名),下一步,需要填写IP地址。这里的IP地址是软路由中网络段(管理端口连接在软路由的LAN口),选择手动输入固定IP。本例设置如下图:
注意默认网关默认是172网段,要改为软路由网关(192.168.0.1)。
3. 软路由端口转发
通过其中一台虚拟机登录到海蜘蛛的Web端管理网页,在【防火墙】-【端口映射】中,启动端口映射,并将外网902和443端口转发到192.168.0.200的902和443端口:
Esxi5.5使用902作vSphere的管理端口,443则为https主页的端口。
3. 更改管理IP
到此为止,Esxi的管理IP仍是172.16.12.140,要使用新建的管理端口,就要把原来的IP改成新的(在软路由中为192.168.0.200)。
现在删除vSwitch0中的管理网络,直接点击vSwitch0左边的移除就可以。确定移除后,vSphere会卡住,这是因为140这个管理IP已经被删除了,当前连接无效,直接关闭vSphere就可以。
从VMWare Workstation进入Esxi的底层管理后台,进入管理网络配置,可以发现当前管理IP已变为192.168.0.200,而Network Adapters没有指定任何一个物理适配器。这时从Ip Configuration中把默认网关填上(192.168.0.1),然后退出去【Restart Management Network】。
打开vSphere,通过172.16.12.141可以登录。最终网络拓扑:
4. 分析
vSphere使用902作管理端口,使用443端口作SSL主页,要和其他虚拟机共用一个IP,只需要把这两个端口转发就可以,其余端口留给其他虚拟机使用。在服务器中,如果虚拟机需要用SSL,可以不把443端口转发给管理IP,而留给虚拟机使用。实际上只需要转发902,vSphere就可以正常使用。
另外,在实际服务器中,可能出现断电之后开机,里面的软路由不会自动启动,这样就导致NAT不工作,也无法转发管理端口。这时只有进入Esxi的底层管理后再重新配置。为了防止这种情况,可以把虚拟机设置为自动启动。在【配置】-【软件】-【虚拟机启动/关机】中,把软路由设置为自动启动。