2
VCenter: in welches vlan? Best practise?
Hallo!
Ich habe mein Heimnetz in verschiedene vlan's unterteilt. Vlan 1 (192.168.1.0/24) ist mein management vlan, in dem ich die ganze Infrastruktur (Switches, Router, APs, etc) und auch den esxi host drinn habe ( vmkernel port hat vlan ID 1).
Dann gibt es unter anderem auch ein Server vlan 200 (192.168.102.0/24)
Kürzlich habe ich die vCenter appliance (vcsa) installiert und sie ohne großartig darüber nachzudenken in das Server vlan 200 gepackt. Jetzt Schießstand mir plötzlich, dass es vielleicht besser wäre wenn die vcsa im selben vlan wie der esxi wäre, sprich management vlan 1.
Kann bitte jemand sagen, was da best practise ist?
Und wenn es so ist, dass esxi und vcsa im selben vlan sein sollten (wegen Sicherheit und traffic zB): Kann ich die IP so einfach ändern? Oder zieht das irgendwelche Probleme nach sich? Wie gehe ich da vor?
Mein Plan wäre folgender: im selben vswitch wie der vmkernel port (der hat ja vlan ID 1) des esxi eine vm portgroup anlegen mit vlan id 1. sicherheitshalber esxi host vom vCenter trennen. DNS record im DNS Server löacjen und neuen anlegen mit neuer IP. Dann irgendwo im vcenter (Konsole?) die IP ändern und vcsa neu starten. Esxi wieder kit vcenter verbinden und fertig. Stimmt das so in etwa?
Danke für euren Rat, bin Anfänger und habe Angst, da was zu verkacken.
LG Pixi
Ps: meine on-premise AntiVirus appliance habe ich auch im Server vlan 200. sollte die auch besser ins management vlan?
Ich habe mein Heimnetz in verschiedene vlan's unterteilt. Vlan 1 (192.168.1.0/24) ist mein management vlan, in dem ich die ganze Infrastruktur (Switches, Router, APs, etc) und auch den esxi host drinn habe ( vmkernel port hat vlan ID 1).
Dann gibt es unter anderem auch ein Server vlan 200 (192.168.102.0/24)
Kürzlich habe ich die vCenter appliance (vcsa) installiert und sie ohne großartig darüber nachzudenken in das Server vlan 200 gepackt. Jetzt Schießstand mir plötzlich, dass es vielleicht besser wäre wenn die vcsa im selben vlan wie der esxi wäre, sprich management vlan 1.
Kann bitte jemand sagen, was da best practise ist?
Und wenn es so ist, dass esxi und vcsa im selben vlan sein sollten (wegen Sicherheit und traffic zB): Kann ich die IP so einfach ändern? Oder zieht das irgendwelche Probleme nach sich? Wie gehe ich da vor?
Mein Plan wäre folgender: im selben vswitch wie der vmkernel port (der hat ja vlan ID 1) des esxi eine vm portgroup anlegen mit vlan id 1. sicherheitshalber esxi host vom vCenter trennen. DNS record im DNS Server löacjen und neuen anlegen mit neuer IP. Dann irgendwo im vcenter (Konsole?) die IP ändern und vcsa neu starten. Esxi wieder kit vcenter verbinden und fertig. Stimmt das so in etwa?
Danke für euren Rat, bin Anfänger und habe Angst, da was zu verkacken.
LG Pixi
Ps: meine on-premise AntiVirus appliance habe ich auch im Server vlan 200. sollte die auch besser ins management vlan?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 364098
Url: https://administrator.de/contentid/364098
Ausgedruckt am: 25.11.2024 um 11:11 Uhr
2 Kommentare
Neuester Kommentar
Kann bitte jemand sagen, was da best practise ist?
Das ist einfach: Alles was sicherheitsrelevant ist und ein management Zugang zur Verwaltung des Systems ist gehört in so ein gesichertes Management VLAN.Produktivnetze nicht.
Ob du die IP so einfach ändern kannst müsste ein VmWare Spezl bestätigen aber in der regel geht sowas problemlos.
und habe Angst, da was zu verkacken.
In einem Heimnetz ist das doch Latte, denn das lässt sich ja schnell wieder neu aufsetzen 
Irgendwie steig ich da nicht ganz durch
"sicherheitshalber esxi host vom vCenter trennen"
hä? Die VCSA läuft doch immer auf nem ESX Host. Ansonsten: Teste es doch einfach aus. Soweit ich mich erinnere brauch die VCSA halt Vollzugriff auf die Hosts. Du musst halt nur sicherstellen, dass da das Routing zum ESX passt.
Über was für nen Server reden wir eigentlich? Die Standard ESX'er die ich so kenne haben ja eh alle 4 NICs. Da kannst du dich VLAN mässig doch voll austoben. Mach halt nen eigenen vswitch auf der VCSA und gib dem einen nicht belegten Port. Den Switchport dann ins Management VLAN Taggen und dann an der Firewall gucken was die VCSA so alles braucht
"sicherheitshalber esxi host vom vCenter trennen"
hä? Die VCSA läuft doch immer auf nem ESX Host. Ansonsten: Teste es doch einfach aus. Soweit ich mich erinnere brauch die VCSA halt Vollzugriff auf die Hosts. Du musst halt nur sicherstellen, dass da das Routing zum ESX passt.
Über was für nen Server reden wir eigentlich? Die Standard ESX'er die ich so kenne haben ja eh alle 4 NICs. Da kannst du dich VLAN mässig doch voll austoben. Mach halt nen eigenen vswitch auf der VCSA und gib dem einen nicht belegten Port. Den Switchport dann ins Management VLAN Taggen und dann an der Firewall gucken was die VCSA so alles braucht
