2
VCenter: in welches vlan? Best practise?
Hallo!
Ich habe mein Heimnetz in verschiedene vlan's unterteilt. Vlan 1 (192.168.1.0/24) ist mein management vlan, in dem ich die ganze Infrastruktur (Switches, Router, APs, etc) und auch den esxi host drinn habe ( vmkernel port hat vlan ID 1).
Dann gibt es unter anderem auch ein Server vlan 200 (192.168.102.0/24)
Kürzlich habe ich die vCenter appliance (vcsa) installiert und sie ohne großartig darüber nachzudenken in das Server vlan 200 gepackt. Jetzt Schießstand mir plötzlich, dass es vielleicht besser wäre wenn die vcsa im selben vlan wie der esxi wäre, sprich management vlan 1.
Kann bitte jemand sagen, was da best practise ist?
Und wenn es so ist, dass esxi und vcsa im selben vlan sein sollten (wegen Sicherheit und traffic zB): Kann ich die IP so einfach ändern? Oder zieht das irgendwelche Probleme nach sich? Wie gehe ich da vor?
Mein Plan wäre folgender: im selben vswitch wie der vmkernel port (der hat ja vlan ID 1) des esxi eine vm portgroup anlegen mit vlan id 1. sicherheitshalber esxi host vom vCenter trennen. DNS record im DNS Server löacjen und neuen anlegen mit neuer IP. Dann irgendwo im vcenter (Konsole?) die IP ändern und vcsa neu starten. Esxi wieder kit vcenter verbinden und fertig. Stimmt das so in etwa?
Danke für euren Rat, bin Anfänger und habe Angst, da was zu verkacken.
LG Pixi
Ps: meine on-premise AntiVirus appliance habe ich auch im Server vlan 200. sollte die auch besser ins management vlan?
Ich habe mein Heimnetz in verschiedene vlan's unterteilt. Vlan 1 (192.168.1.0/24) ist mein management vlan, in dem ich die ganze Infrastruktur (Switches, Router, APs, etc) und auch den esxi host drinn habe ( vmkernel port hat vlan ID 1).
Dann gibt es unter anderem auch ein Server vlan 200 (192.168.102.0/24)
Kürzlich habe ich die vCenter appliance (vcsa) installiert und sie ohne großartig darüber nachzudenken in das Server vlan 200 gepackt. Jetzt Schießstand mir plötzlich, dass es vielleicht besser wäre wenn die vcsa im selben vlan wie der esxi wäre, sprich management vlan 1.
Kann bitte jemand sagen, was da best practise ist?
Und wenn es so ist, dass esxi und vcsa im selben vlan sein sollten (wegen Sicherheit und traffic zB): Kann ich die IP so einfach ändern? Oder zieht das irgendwelche Probleme nach sich? Wie gehe ich da vor?
Mein Plan wäre folgender: im selben vswitch wie der vmkernel port (der hat ja vlan ID 1) des esxi eine vm portgroup anlegen mit vlan id 1. sicherheitshalber esxi host vom vCenter trennen. DNS record im DNS Server löacjen und neuen anlegen mit neuer IP. Dann irgendwo im vcenter (Konsole?) die IP ändern und vcsa neu starten. Esxi wieder kit vcenter verbinden und fertig. Stimmt das so in etwa?
Danke für euren Rat, bin Anfänger und habe Angst, da was zu verkacken.
LG Pixi
Ps: meine on-premise AntiVirus appliance habe ich auch im Server vlan 200. sollte die auch besser ins management vlan?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 364098
Url: https://administrator.de/contentid/364098
Printed on: April 28, 2024 at 17:04 o'clock
2 Comments
Latest comment
Kann bitte jemand sagen, was da best practise ist?
Das ist einfach: Alles was sicherheitsrelevant ist und ein management Zugang zur Verwaltung des Systems ist gehört in so ein gesichertes Management VLAN.Produktivnetze nicht.
Ob du die IP so einfach ändern kannst müsste ein VmWare Spezl bestätigen aber in der regel geht sowas problemlos.
und habe Angst, da was zu verkacken.
In einem Heimnetz ist das doch Latte, denn das lässt sich ja schnell wieder neu aufsetzen 
Irgendwie steig ich da nicht ganz durch
"sicherheitshalber esxi host vom vCenter trennen"
hä? Die VCSA läuft doch immer auf nem ESX Host. Ansonsten: Teste es doch einfach aus. Soweit ich mich erinnere brauch die VCSA halt Vollzugriff auf die Hosts. Du musst halt nur sicherstellen, dass da das Routing zum ESX passt.
Über was für nen Server reden wir eigentlich? Die Standard ESX'er die ich so kenne haben ja eh alle 4 NICs. Da kannst du dich VLAN mässig doch voll austoben. Mach halt nen eigenen vswitch auf der VCSA und gib dem einen nicht belegten Port. Den Switchport dann ins Management VLAN Taggen und dann an der Firewall gucken was die VCSA so alles braucht
"sicherheitshalber esxi host vom vCenter trennen"
hä? Die VCSA läuft doch immer auf nem ESX Host. Ansonsten: Teste es doch einfach aus. Soweit ich mich erinnere brauch die VCSA halt Vollzugriff auf die Hosts. Du musst halt nur sicherstellen, dass da das Routing zum ESX passt.
Über was für nen Server reden wir eigentlich? Die Standard ESX'er die ich so kenne haben ja eh alle 4 NICs. Da kannst du dich VLAN mässig doch voll austoben. Mach halt nen eigenen vswitch auf der VCSA und gib dem einen nicht belegten Port. Den Switchport dann ins Management VLAN Taggen und dann an der Firewall gucken was die VCSA so alles braucht
