12
Können verschiedene Netze (VLANs) auf gemeinsamen Service zugreifen? In einer virtuellen Umgebung mit ESXi.
Hallo zusammen,
Ich weiß nicht mehr weiter
und bitte euch um Rat.
Ich möchte eine Testumgebung erstellen und nutze dafür einen VMware ESXi Umgebung. Der Server funktioniert soweit auch und mir sind die meisten Möglichkeiten auch bekannt.
Es geht darum, dass auf Basis von Templates immer eine "Testumgebung" angelegt werden soll. Im folgenden soll diese Testumgebung Projekt genannt werden. Jedes Projekt beinhaltet 3-4 virtuelle Maschinen die untereinander uneingeschränkt kommunizieren können müssen.
Soweit so einfach. Es gibt einen gemeinsamen vSwitch und jedes Projekt kommt in eine eigene Protgruppe mit eigenem VLAN.
Nun brauche ich aber auch noch einen für alle Projekte und alle virtuellen Maschinen gemeinsamen Datenspeicher. Alle müssen auf ein Netzlaufwerk, einen FTP oder sonst irgendetwas zugreifen können. Dieser Datenspeicher soll dann in der 2. Ausbaustufe auch vom externen also physischen LAN zugegrifen werden können.
Wie kann ich das realisieren? Also wie schaffe ich dass eine virtuelle Maschinene in alle VLANs zugreifen kann?
Vielen Dank für eure Hilfe,
Daniel
Ich weiß nicht mehr weiter
und bitte euch um Rat.Ich möchte eine Testumgebung erstellen und nutze dafür einen VMware ESXi Umgebung. Der Server funktioniert soweit auch und mir sind die meisten Möglichkeiten auch bekannt.
Es geht darum, dass auf Basis von Templates immer eine "Testumgebung" angelegt werden soll. Im folgenden soll diese Testumgebung Projekt genannt werden. Jedes Projekt beinhaltet 3-4 virtuelle Maschinen die untereinander uneingeschränkt kommunizieren können müssen.
Soweit so einfach. Es gibt einen gemeinsamen vSwitch und jedes Projekt kommt in eine eigene Protgruppe mit eigenem VLAN.
Nun brauche ich aber auch noch einen für alle Projekte und alle virtuellen Maschinen gemeinsamen Datenspeicher. Alle müssen auf ein Netzlaufwerk, einen FTP oder sonst irgendetwas zugreifen können. Dieser Datenspeicher soll dann in der 2. Ausbaustufe auch vom externen also physischen LAN zugegrifen werden können.
Wie kann ich das realisieren? Also wie schaffe ich dass eine virtuelle Maschinene in alle VLANs zugreifen kann?
Vielen Dank für eure Hilfe,
Daniel
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 106838
Url: https://administrator.de/contentid/106838
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
12 Kommentare
Neuester Kommentar
Ich bin mir nicht sicher, ob mein Bild im Kopf mit Deinem Szenario übereinstimmt.
Falls doch dieser Ansatz. Dein physischer Switch muss Layer3-fähig sein, damit Du auf Switchebene routen kannst. Ansonsten einen Router (am Besten nicht virtuell) aufbauen und diesen mit einer NIC in jedes VLAN hängen.
Falls doch dieser Ansatz. Dein physischer Switch muss Layer3-fähig sein, damit Du auf Switchebene routen kannst. Ansonsten einen Router (am Besten nicht virtuell) aufbauen und diesen mit einer NIC in jedes VLAN hängen.
Eine einfache Linux VM kann mit entsprechend vielen Netzwerkkarten ausgerüstet werden und dann dals Router zwischen den VLANs dienen bzw. die Verbindungen in die reale Welt zu einem gemeinsamen Fileserver ermöglichen.
In der ESX version 4, so wird spekuliert, gibt es nicht mehr nur v-Switches sondern auch v-Router. Möglicherweise sogar von Cisco. Leider so fürchte ich nur als kostenpflichtiges upgrade. Aber das wissen wir in einigen Monaten genauer.
In der ESX version 4, so wird spekuliert, gibt es nicht mehr nur v-Switches sondern auch v-Router. Möglicherweise sogar von Cisco. Leider so fürchte ich nur als kostenpflichtiges upgrade. Aber das wissen wir in einigen Monaten genauer.
Hi, der Switch ist leider nicht Layer3 fähig. Also der vSwitch der in der ESXi Umgebung angeboten wird unterstützt kein Routing.
An einen virtuellen Router habe ich auch schon gedacht, leider kann eine virtuelle Maschine maximal 4 Netzwerkkarten, und es werden wohl mehr als 4 Projekte parallel laufen.
Ich habe von VLAN ID Nummer 4095 gelesen, die scheinbar allen Netzwerktriffik sehen kann. Leider funktioniert diese Einstellung bei mir nicht, zumindest nicht mit erhofften Erfolg.
An einen virtuellen Router habe ich auch schon gedacht, leider kann eine virtuelle Maschine maximal 4 Netzwerkkarten, und es werden wohl mehr als 4 Projekte parallel laufen.
Ich habe von VLAN ID Nummer 4095 gelesen, die scheinbar allen Netzwerktriffik sehen kann. Leider funktioniert diese Einstellung bei mir nicht, zumindest nicht mit erhofften Erfolg.
Zitat von @kalti1985:
Hi, der Switch ist leider nicht Layer3 fähig. Also der vSwitch
der in der ESXi Umgebung angeboten wird unterstützt kein
Routing.
Hi, der Switch ist leider nicht Layer3 fähig. Also der vSwitch
der in der ESXi Umgebung angeboten wird unterstützt kein
Routing.
Also ist mein Bild falsch.
An einen virtuellen Router habe ich auch schon gedacht, leider kann
eine virtuelle Maschine maximal 4 Netzwerkkarten, und es werden wohl
mehr als 4 Projekte parallel laufen.
Was ist der Sinn der vielen VLANs? Wenn es um Trennung geht, könnten die Projekte auch in unterschiedlichen (Sub-)Netzen liegen und die Trennung übernimmt eine LinuxVM-FW.
Die einzelnen Projekte müssen voneinander abgeschottet sein. Hier laufen teilweise ADs oder andere Service die sich sonst gegenseitig ins Gehege kommen könnte. Also die sollten möglichst (viruell-)physisch getrennt sein.
Die einzelnen Projekte müssen voneinander abgeschottet sein.
Hier laufen teilweise ADs oder andere Service die sich sonst
gegenseitig ins Gehege kommen könnte.
Hier laufen teilweise ADs oder andere Service die sich sonst
gegenseitig ins Gehege kommen könnte.
Da wäre wohl real-physisch der richtige Weg, zumal Du ja von mehr als vier Projekten ausgehst.. Andererseits würden sie über gemeinsame Filesharingdienst (egal welche) wieder zusammen kommen. Da sehe ich so grundsätzlich ohnehin den Bedarf für eine virtuelle/reale Firewall.
Zitat von @Dackelblick:
Da wäre wohl real-physisch der richtige Weg, zumal Du ja von
mehr als vier Projekten ausgehst.. Andererseits würden sie
über gemeinsame Filesharingdienst (egal welche) wieder zusammen
kommen. Da sehe ich so grundsätzlich ohnehin den Bedarf für
eine virtuelle/reale Firewall.
Da wäre wohl real-physisch der richtige Weg, zumal Du ja von
mehr als vier Projekten ausgehst.. Andererseits würden sie
über gemeinsame Filesharingdienst (egal welche) wieder zusammen
kommen. Da sehe ich so grundsätzlich ohnehin den Bedarf für
eine virtuelle/reale Firewall.
Aber sehe ich das nicht richtig, dass um die "getrennten" Netze miteinander zu verbinden, brauch auch die Firewall für jedes Netz eine Netzwerkkarte, aber VMware limitiert die Anzahl an Netzwerkkarten pro virtuelle Maschine auf 4
Also könnte ich maximal 4 Netze miteinander verbinden.Zitat von @Rafiki:
Eine einfache Linux VM kann mit entsprechend vielen Netzwerkkarten
ausgerüstet werden und dann dals Router zwischen den VLANs dienen
bzw. die Verbindungen in die reale Welt zu einem gemeinsamen
Fileserver ermöglichen.
Eine einfache Linux VM kann mit entsprechend vielen Netzwerkkarten
ausgerüstet werden und dann dals Router zwischen den VLANs dienen
bzw. die Verbindungen in die reale Welt zu einem gemeinsamen
Fileserver ermöglichen.
Kann VMware nicht nur 4 Netzwerkadapter pro virtuelle Maschiene?
@kalti1985
"Ich habe von VLAN ID Nummer 4095 gelesen, die scheinbar allen Netzwerktriffik sehen kann...."
Wer hat dir denn dieses Märchen erzählt ??? Jedenfalls keiner der den 802.1q Standard gelesen hat !!!
Mal abgesehen das viele Switch Billigheimer soviele VLANs gar nicht supporten und bei denen so eine VLAN ID gar nicht einstellbar ist, ist das auch völliger Unsinn.
Wie sollte das auch technisch gehen ???
Schlimmer noch die VLAN ID 4095 (hex 0xFFF) und auch 0 ist per Standard reserviert und darf NICHT vergeben werden !!
"Ich habe von VLAN ID Nummer 4095 gelesen, die scheinbar allen Netzwerktriffik sehen kann...."
Wer hat dir denn dieses Märchen erzählt ??? Jedenfalls keiner der den 802.1q Standard gelesen hat !!!
Mal abgesehen das viele Switch Billigheimer soviele VLANs gar nicht supporten und bei denen so eine VLAN ID gar nicht einstellbar ist, ist das auch völliger Unsinn.
Wie sollte das auch technisch gehen ???
Schlimmer noch die VLAN ID 4095 (hex 0xFFF) und auch 0 ist per Standard reserviert und darf NICHT vergeben werden !!
Ich zitiere mal die VMware ESX Dokumentation auf Seite 24:
Eine VLAN-ID, die den Datenverkehr der Portgruppe auf ein logisches
Ethernet-Segment im physischen Netzwerk einschränkt, kann optional zugewiesen
werden.
HINWEIS Sie können auf einem einzelnen Host maximal 512 Portgruppen anlegen.
HINWEIS Damit eine Portgruppe Portgruppen erreichen kann, die sich in anderen
VLANs befinden, stellen Sie die VLAN-ID auf 4095 ein.
Link: http://www.vmware.com/files/de/pdf/vi3_35_25_u2_3_server_config_de.pdf
Ich habe mir den 802.1q Standard durchgelesen und hab mir auch gedacht, dass das nicht sein kann. Deswegen frage ich hier ja.
Eine VLAN-ID, die den Datenverkehr der Portgruppe auf ein logisches
Ethernet-Segment im physischen Netzwerk einschränkt, kann optional zugewiesen
werden.
HINWEIS Sie können auf einem einzelnen Host maximal 512 Portgruppen anlegen.
HINWEIS Damit eine Portgruppe Portgruppen erreichen kann, die sich in anderen
VLANs befinden, stellen Sie die VLAN-ID auf 4095 ein.
Link: http://www.vmware.com/files/de/pdf/vi3_35_25_u2_3_server_config_de.pdf
Ich habe mir den 802.1q Standard durchgelesen und hab mir auch gedacht, dass das nicht sein kann. Deswegen frage ich hier ja.
Damit verstossen die gegen einen internationalen Standard !!! definitiv !
Die Anleitung ist somit mit erheblicher Vorsicht zu geniessen...
Verwunderlich das VmWare so einen technischen Unsinn schreibt...na ja sind halt keine Netzwerker.. !!
Das ist dann Risiko im freien Fall, denn es wird herstellerabhängig sein ob sowas geht oder nicht.
Bei 80% aller Switches geht es so oder so nicht da die gar nicht soviele VLANs supporten wie nur die wenigen Premium Hersteller...
Die Anleitung ist somit mit erheblicher Vorsicht zu geniessen...
Verwunderlich das VmWare so einen technischen Unsinn schreibt...na ja sind halt keine Netzwerker.. !!
Das ist dann Risiko im freien Fall, denn es wird herstellerabhängig sein ob sowas geht oder nicht.
Bei 80% aller Switches geht es so oder so nicht da die gar nicht soviele VLANs supporten wie nur die wenigen Premium Hersteller...
Also es steht allerdings auch drin, dass es nach dem 802.1q Standard verfasst ist. Vielleicht ist es nur ein Fehler in der Doku oder ein Übersetzungsfehler.
Ich habe es nämlich getestet und es funktioniert nicht ...
So wie es aussieht gibt es keine wirkliche Lösung dafür ... Ich werde mir wohl ein alternati-konzept ausdenken müssen.
Ich habe es nämlich getestet und es funktioniert nicht ...
So wie es aussieht gibt es keine wirkliche Lösung dafür ... Ich werde mir wohl ein alternati-konzept ausdenken müssen.
