设置具有可公开访问范围和 2 个 NIC 的安全 ESXi 环境的推荐方法

Question

我对 ESXi 还是比较陌生，但决定深入研究，但发现事情并不像我预期的那么容易（毫无疑问，这主要是由于我目前对此事缺乏了解造成的） .

我拥有的：

• 带有 1 个 NIC 运行 ESXi 的专用服务器
• 主机的单个（公共）IP 地址
• 一组（公共）IP 地址，用于我认为适合的任何用途。为了简单起见，让我们现在想象一个单一的网络服务器。

我想要达到的目标：

• 安全的 ESXi 管理；我真的觉得一个可公开访问的管理主机是错误的。
  • 我没有任何物理路由器可供我使用，因此我无法将主机隐藏在物理 VPN 后面。
• 公开访问我的一些访客系统
• 额外的客人需要坐在专用网络上。
• 公共和私人访客应该可以选择通过专用网络进行通信。

目前，我对如何解决这个问题有点迷茫。我可能能让一些东西运行起来，但我不想在错误的基础上开始或做出最终不安全的选择。

任何帮助表示赞赏。

更新：到目前为止我所取得的成就（和网络截图）：

• ESXi 已启动并正在运行，仍在公共接口上
• 我已经配置了一个 pfSense 来宾
• 我已经配置了一个 DSL 桌面以通过专用网络访问 pfSense 来宾。

我仍然觉得将 ESXi 隐藏在虚拟 VPN 后面是非常危险的，因为我没有控制台访问权限。如果我忽略了某些东西，或者任何可能的替代方案，我真的很想知道。

Answer 1

简而言之：

1. 创建（至少）两个 vSwitch，一个“公共”，连接到服务器 NIC 之一，另一个“私有”，不连接到任何物理 NIC。
2. 选择一个 RFC1918 子网以在私有 vSwitch 上使用，例如10.0.0.0/24。
3. 在 VM 中安装pfSense，将其 WAN 接口分配给公共 vSwitch，将其 LAN 接口分配给私有 vSwitch。此外，将 VMware vKernel 管理端口分配给专用 vSwitch。
4. 在 pfSense 中设置 VPN 以及适当的路由以到达专用网络。OpenVPN 很容易设置，但 IPsec 也很好。
5. 对于您拥有的任何服务器 VM，将其接口分配给专用网络。
6. 在 pfSense 中为您的其余公共 IP 地址创建虚拟 IP，然后为您需要人们能够从主机外部访问的任何服务设置端口转发。

此时，pfSense VM 将是流量从外部到达其余服务器和管理接口的唯一途径。因此，您可以指定关于允许哪些流量和阻止哪些流量的非常具体的规则。连接到您在步骤 4 中配置的 VPN 后，您将能够使用 vSphere Client。