Gunnar Assmy - Fotolia
Wie konfiguriert man den Zugriff auf einen VMkernel Port?
Über die ESXi-Firewall-Konfigurationseinstellungen und VMkernel Ports lässt sich der Zugriff steuern, den Dienste wie Secure Shell auf das Management-Netzwerk haben.
Mit vSphere lassen sich VMkernel Porteinstellungen neu konfigurieren und der Zugriff von Diensten wie Secure Shell ausschließlich auf das Management-Netzwerk beschränken.
Jeder VMkernel TCP/IP-Stack mit einer IP-Adresse verwendet diese Adresse, um auf Services zu warten. Wenn man einen Dienst wie Secure Shell (SSH) nur im Management-Netzwerk verwenden möchte, ist eine zusätzliche Konfiguration erforderlich. Es ist nicht möglich, einen Dienst an einen bestimmten TCP/IP-Stack zu binden. Aber man kann die Firewall so konfigurieren, dass sie nur den Zugriff auf eine oder mehrere Adressen erlaubt.
Ziemlich wahrscheinlich mussten Sie noch nie auf die ESXi-Firewall-Konfiguration in Ihrem System zugreifen. Die Standardkonfiguration erlaubt nur die Verwendung der Ports, die für die aktivierten Dienste notwendig sind. Wenn Sie einen Dienst aktivieren, werden die zugehörigen VMkernel Ports für Sie geöffnet. Aktivieren Sie zum Beispiel den Dienst Network Time Protocol, wird der ausgehende UDP-Port 123 geöffnet.
Wenn Sie möchten, können Sie jeden VMkernel Port manuell öffnen und schließen. Sie können auch diesen Anweisungen folgen, um auf bestimmte VMkernel Ports zuzugreifen und zusätzliche Konfigurationseinstellungen hinzuzufügen.
Passen Sie diese Einstellungen im vSphere Client über den Konfigurieren- Tab Ihres ESXi-Hosts an. In folgender Abbildung sehen Sie ein Beispiel für diese Konfiguration.
In diesem Beispiel ist das Kontrollkästchen Allow connections from any IP adress für den SSH-Server deaktiviert und in der IP-Liste befindet sich eine Adresse. Bei dieser Konfiguration sind nur von dieser Adresse Verbindungen zum SSH-Server erlaubt. Sie können mehrere Adressen in einer durch Kommata getrennten Liste hinzufügen.
Sie können auch einen Subnetz-Bereich hinzufügen, zum Beispiel: 172.31.0.0.0/16. Das Format besteht aus der Netzwerkadresse – in diesem Beispiel 172.31.0.0.0 – gefolgt von der Präfixlänge, die 16 Bit beträgt. Dies erlaubt den Zugriff nur auf die Computer mit einer Adresse in diesem Subnetz.
Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!