Freitag, 20. April 2018, 10:39
vSphere Netzwerk Setup bei Hetzner und Erfahrungen
Hallo liebe Kollegen,
ich bin dabei auf meinem Hetzner-Server eine Virtualisierungsumgebung mit ESXi (vSense 6.5) einzurichten. Es hätte mich interessiert ob jemand bei Hetzner schon virtualisiert und mit welchen erfahrungen. Muss ich beim aufsetzen auf etwas aufpassen? Wie ist es mit dem Netzwerk? Laut Informationen im Internet brauche ich eine VM die Rolle des Routers übernimmt.
Danke!
LG
Giuseppe
ich bin dabei auf meinem Hetzner-Server eine Virtualisierungsumgebung mit ESXi (vSense 6.5) einzurichten. Es hätte mich interessiert ob jemand bei Hetzner schon virtualisiert und mit welchen erfahrungen. Muss ich beim aufsetzen auf etwas aufpassen? Wie ist es mit dem Netzwerk? Laut Informationen im Internet brauche ich eine VM die Rolle des Routers übernimmt.
Danke!
LG
Giuseppe
keep going on...
Inv [7.6.7]
Inv [7.6.7]
Freitag, 20. April 2018, 20:56
Hoi Guiseppe
Zu Hetzner kann ich nix sagen, weil ich wo anders hosten lasse. Aber dazu:
Ich bin noch auf ESXi 5.5 und verwende zu diesem Zweck die UTM 9 von Sophos; schau Dir das mal an, sollte auch mit der ESXi 6.5 funktionieren.
Ist nicht nur eine Firewall wie der Name suggeriert, sondern ein kompletter virtueller Router mit allem Schnickschnack incl. OpenVPN zu Deinen geplanten virtuellen Maschinen. Und es gibt ein gutes Forum (deutsch und englisch) im Falle von Fragen / Unklarheiten.
Zu Hetzner kann ich nix sagen, weil ich wo anders hosten lasse. Aber dazu:
Wie ist es mit dem Netzwerk? Laut Informationen im Internet brauche ich eine VM die Rolle des Routers übernimmt.
Ich bin noch auf ESXi 5.5 und verwende zu diesem Zweck die UTM 9 von Sophos; schau Dir das mal an, sollte auch mit der ESXi 6.5 funktionieren.
Ist nicht nur eine Firewall wie der Name suggeriert, sondern ein kompletter virtueller Router mit allem Schnickschnack incl. OpenVPN zu Deinen geplanten virtuellen Maschinen. Und es gibt ein gutes Forum (deutsch und englisch) im Falle von Fragen / Unklarheiten.
Gruss
Bernd
Bernd
Samstag, 21. April 2018, 17:36
Hallo Bernd,
danke für deine Antwort und die Empfehlung. Sophos schaut besser als pfSense aus. Vor allem find ich gut, dass es kein zusätzliches Betriebssystem für den Betrieb benötigt. Bei der Installation habe ich festgestellt, dass zwei Netzwerkkarten notwendig sind. Mein Server hat derzeit aber nur eine. Darum muss ich mich noch kümmern.
Update: es geht um die VM Netzwerkkarten. Diese können einfach hinzugefügt werden
LG
Giuseppe
danke für deine Antwort und die Empfehlung. Sophos schaut besser als pfSense aus. Vor allem find ich gut, dass es kein zusätzliches Betriebssystem für den Betrieb benötigt. Bei der Installation habe ich festgestellt, dass zwei Netzwerkkarten notwendig sind. Mein Server hat derzeit aber nur eine. Darum muss ich mich noch kümmern.
Update: es geht um die VM Netzwerkkarten. Diese können einfach hinzugefügt werden
LG
Giuseppe
keep going on...
Inv [7.6.7]
Inv [7.6.7]
Sonntag, 22. April 2018, 18:26
Hallo Guiseppe
Zur Verwendung mit vSphere installiert man da nix. Stattdessen gibt es ein VM Image von Sophos direkt zur Verwendung mit vSphere (such mal auf deren Donwload Seiten), welches man importieren kann. Das startet man dann einfach an (Autostart in ESXi konfigirieren und dieses Image als erste VM anstarten) und kann dann alles über ein Web-Interface konfigurieren.
Jaaaa, das eben erwähnte UTM 9 Image läuft unter Linux. Allerdings kannst Du alles bequem via Web-Interface konfigurieren, der shell access zu dieser VM ist nicht nötig (aber möglich mit ssh, z.B. putty).
Genau, eine physische Karte ist ausreichend. Dazu konfigurierst Du in der vSphere ein- oder mehrere virtuelle Netzwerke.
Z.B. ein virtuelles Netzwerk für Deine Investox Maschinen (Produktion, Paper, Analyse- VM's) und die Verwaltung Deiner vSphere selbst und ein weiteres virtuelles Netzwerk (DMZ, De-Militarisierte Zone) für eine Investox-Umgebung, welche Du auch mal unterwegs verwenden willst um jemand Investox zu zeigen - ohne dass der Teilnehmer-Kreis einer solchen Session irgenwas über Deine interne Struktur mit der Produktions-Umgebung erfährt. In die DMZ kannst Du auch z.B. eine Linux-Installation einbringen, welche Dir auf Auslandsreisen einen Brücken-Kopf mit einer echten deutschen IP Adresse bietet. Oder eine eigene Cloud usw.
Die UTM 9 konfigurierst Du dann an jeden dieser Adapter ran (dem einen physischen und den virtuellen), so dass sie routen kann. Dann noch die Routing-Reglen im Web-Interface konfigurieren, und Deine VMs sind wie gewünscht am Start.
Tip: miete Dir *zwei* RAID Arrays. Die Produktion bekommt eines, die anderen VM das andere. Meist kann man sich ja heute soviel CPUs mieten wie man braucht - dann ist das RAID der Engpass. Klar kann man alle Resourcen unter ESXi priorisieren, aber die I/Os sind immer ein Engpass. Priosisierung her oder hin: mit zwei RAID geht's einfach besser und nix stört Deine produktive Instanz(en) beim Geld verdienen oder verdünnen
... Ggf. auch zweiten Controller vorsehen ...
Bei der Installation habe ich festgestellt, dass
Zur Verwendung mit vSphere installiert man da nix. Stattdessen gibt es ein VM Image von Sophos direkt zur Verwendung mit vSphere (such mal auf deren Donwload Seiten), welches man importieren kann. Das startet man dann einfach an (Autostart in ESXi konfigirieren und dieses Image als erste VM anstarten) und kann dann alles über ein Web-Interface konfigurieren.
... find ich gut, dass es kein zusätzliches Betriebssystem für den Betrieb benötigt ...
Jaaaa, das eben erwähnte UTM 9 Image läuft unter Linux. Allerdings kannst Du alles bequem via Web-Interface konfigurieren, der shell access zu dieser VM ist nicht nötig (aber möglich mit ssh, z.B. putty).
Netzwerkkarten ...
Genau, eine physische Karte ist ausreichend. Dazu konfigurierst Du in der vSphere ein- oder mehrere virtuelle Netzwerke.
Z.B. ein virtuelles Netzwerk für Deine Investox Maschinen (Produktion, Paper, Analyse- VM's) und die Verwaltung Deiner vSphere selbst und ein weiteres virtuelles Netzwerk (DMZ, De-Militarisierte Zone) für eine Investox-Umgebung, welche Du auch mal unterwegs verwenden willst um jemand Investox zu zeigen - ohne dass der Teilnehmer-Kreis einer solchen Session irgenwas über Deine interne Struktur mit der Produktions-Umgebung erfährt. In die DMZ kannst Du auch z.B. eine Linux-Installation einbringen, welche Dir auf Auslandsreisen einen Brücken-Kopf mit einer echten deutschen IP Adresse bietet. Oder eine eigene Cloud usw.
Die UTM 9 konfigurierst Du dann an jeden dieser Adapter ran (dem einen physischen und den virtuellen), so dass sie routen kann. Dann noch die Routing-Reglen im Web-Interface konfigurieren, und Deine VMs sind wie gewünscht am Start.
Tip: miete Dir *zwei* RAID Arrays. Die Produktion bekommt eines, die anderen VM das andere. Meist kann man sich ja heute soviel CPUs mieten wie man braucht - dann ist das RAID der Engpass. Klar kann man alle Resourcen unter ESXi priorisieren, aber die I/Os sind immer ein Engpass. Priosisierung her oder hin: mit zwei RAID geht's einfach besser und nix stört Deine produktive Instanz(en) beim Geld verdienen oder verdünnen
... Ggf. auch zweiten Controller vorsehen ...
Gruss
Bernd
Bernd
Montag, 23. April 2018, 08:45
Hello Bernd,
danke für die Ratschläge und Infos. Ein fertiges Image gibt es leider nicht mehr: https://community.sophos.com/kb/en-us/119230 (Absatz Preconfigured VM images). Es ist aber egal, ich habe UTM9 schon erfolgreich installiert.
LG
Giuseppe
danke für die Ratschläge und Infos. Ein fertiges Image gibt es leider nicht mehr: https://community.sophos.com/kb/en-us/119230 (Absatz Preconfigured VM images). Es ist aber egal, ich habe UTM9 schon erfolgreich installiert.
LG
Giuseppe
keep going on...
Inv [7.6.7]
Inv [7.6.7]
Montag, 23. April 2018, 22:44
Hallo Trader
Die Virtualbox installierst Du auf ein bestehendes Betriebssystem drauf, richtig? Das ist dann ein Typ 2 Hypervisor.
vSphere ESXi ist dagegen ein Bare Metal Hypervisor, schau mal hier für Grundlagen.
Yep, die kostenlose Version ist für uns Investoxies gut genug (solange man die Lizenzbestimmungen erfüllt, natürlich).
Was ist der Vorteil gegenüber Virtualbox?
Die Virtualbox installierst Du auf ein bestehendes Betriebssystem drauf, richtig? Das ist dann ein Typ 2 Hypervisor.
vSphere ESXi ist dagegen ein Bare Metal Hypervisor, schau mal hier für Grundlagen.
Habe gesehen, dass es von vSphere auch eine kostenlose Version
Yep, die kostenlose Version ist für uns Investoxies gut genug (solange man die Lizenzbestimmungen erfüllt, natürlich).
Gruss
Bernd
Bernd
Sonntag, 29. April 2018, 18:19
Hallo zusammen
Im Prinzip stimme ich dem zu und verwende es ebenfalls.
Weltenbummler müssen allerdings aufpassen wie ein Elch, sonst schiesst man sich locker mal ins Knie. Dies sind einige meiner Erfahrungen dazu:
1) Zur Reisevorbereitung gehört bei aktiviertem GeoIP-Blocking, dass man die Länder freischaltet, in die man reisen will; nach einer Reise muss man dies entsprechend wieder zurückbauen
2) Und zwar nicht nur die Länder, in die man reisst; man muss auch entlang der Flug- oder Schiffsroute Länder freischalten, in die man u.U. umgeleitet wird, wenn es Probleme gibt. Sonst guckt man in die Röhre, wenn man z.B. nach einer Flug-Umleitung ein paar Stunden oder mehr Aufenthalt in einem "ungeplanten" Land hat
3) Wenn man auf der Tour nur mit einer Satelliten-Verbindung ins Internet kommt wird es knifflig. Dies ist z.B. bei langen Schiffstouren (Segel-Törn, Kreuzfahrten usw.) der Fall mit vielen See-Tagen. Oft weiss der Anbieter der Reise nicht einmal, in welchem Land die IP-Adresse des Satelliten-Knotens lokalisiert ist bzw. die Mitarbeiter verstehen die diesbezüglichen Fragen kein bisschen.
In dem Fall braucht
a) einen remote erreichbaren Rechner in einem Land, welches nicht geblockt ist auf der Sophos und der selbst auch keinem GeoIP Blocking unterliegt
b) Software- und entsprechende Kenntnisse, um dann auf der Reise die Geo-Zuordnung des Satelliten-Knotens zu finden und dann auf der Reise selbst via 3a) das entsprechende GeoIP Blocking aufzuheben
Alternativ kann man bei 2) das GeoIP Blocking für die Dauer der Reise natürlich auch ganz abschalten, ist halt nicht so raffiniert wie 3a und b und öffnet Angriffs-Flächen, die man vorher noch nie gesehen hat - weil man ja das GeoIP Blocking an hatte. Dann muss man unterwegs u.U. die entsprechenden Angriffs-Zenarien bekämpfen ...
Verwendet man unterwegs in den Ländern diverse WiFi Connections, z.B. weils es an Bord nicht mit dem Satellit geklappt hat: oftmals werden VPN Verbindungen blockiert, wie Z.B. in China oder manchen Inseln in Oceanien. Hier hat es sich bewährt, mehrere verschiedenartige VPNs eingerichtet zu haben (IPSec-VPN, OpenVPN usw.) und dazu 3a. Oft wird nämlich nur eine Art VPN geblockt, andere gehen. Oder der Umweg über ein VPN in ein anderes Land geht usw.
Apropos Inseln, da kann es auch sein, man hat im Vorfeld der Reise gut recherchiert und herausgefunden, zu welchem Land die Inselgruppe gehört, hat das GeoIP Blocking entsprechend deaktiviert und sitzt dann dort in einem Cafe oder in einem Hotel, hat Free-WiFi - aber kann nicht connecten. VPN ist nicht blockert. Warum geht es nicht?, ah die Inselbewohner haben sich einen Richtfunk-Verbindung zum nahen Festland / Nachbarland eingerichtet, jedoch dies hat eine andere Geo IP Adress-Range ... dumm gelaufen.
Internationale SIM Karten / Prepaid Karten: es gilt analog, was ich zu Satelliten Verbindungen geschrieben hatte. Man weiss im Vorfeld nie (und kann es auch kaum mit Sicherheit in Erfahrung bringen), welche Geo-IP Adresse man am Ziel bekommt. So war ich in Indien mit meinem Dual-Sim Smartphone unterwegs, kam nicht auf meine Sophos-geschützen VM mit der günstigen Prepaid-Karte, die ich besorgt hatte. Die 3b Untersuchung ergab, die Sim-Karte buchte sich irgendwo in London ins Internet ein - und UK hatte ich vor der Reise leider nicht freigeschaltet. Das war im Norden Indiens, im Süden könnte es statt dessen Lisabon sein, wenn ich mir die Kolonial-Geschichte in Erinnerung rufe ...
Fazit,
* wer ein wenig mehr reist als nur in der EU muss sich auf alles gefasst machen und sich viele verschiedene Wege zu seinem Rechner präpaieren
* GeoIP Blocking ist für Weltreisende jedenfalls eine interessante zusätzliche Komponente
dann konfiguriere recht zügig das GeoIP-Blocking
Im Prinzip stimme ich dem zu und verwende es ebenfalls.
Weltenbummler müssen allerdings aufpassen wie ein Elch, sonst schiesst man sich locker mal ins Knie. Dies sind einige meiner Erfahrungen dazu:
1) Zur Reisevorbereitung gehört bei aktiviertem GeoIP-Blocking, dass man die Länder freischaltet, in die man reisen will; nach einer Reise muss man dies entsprechend wieder zurückbauen
2) Und zwar nicht nur die Länder, in die man reisst; man muss auch entlang der Flug- oder Schiffsroute Länder freischalten, in die man u.U. umgeleitet wird, wenn es Probleme gibt. Sonst guckt man in die Röhre, wenn man z.B. nach einer Flug-Umleitung ein paar Stunden oder mehr Aufenthalt in einem "ungeplanten" Land hat
3) Wenn man auf der Tour nur mit einer Satelliten-Verbindung ins Internet kommt wird es knifflig. Dies ist z.B. bei langen Schiffstouren (Segel-Törn, Kreuzfahrten usw.) der Fall mit vielen See-Tagen. Oft weiss der Anbieter der Reise nicht einmal, in welchem Land die IP-Adresse des Satelliten-Knotens lokalisiert ist bzw. die Mitarbeiter verstehen die diesbezüglichen Fragen kein bisschen.
In dem Fall braucht
a) einen remote erreichbaren Rechner in einem Land, welches nicht geblockt ist auf der Sophos und der selbst auch keinem GeoIP Blocking unterliegt
b) Software- und entsprechende Kenntnisse, um dann auf der Reise die Geo-Zuordnung des Satelliten-Knotens zu finden und dann auf der Reise selbst via 3a) das entsprechende GeoIP Blocking aufzuheben
Alternativ kann man bei 2) das GeoIP Blocking für die Dauer der Reise natürlich auch ganz abschalten, ist halt nicht so raffiniert wie 3a und b und öffnet Angriffs-Flächen, die man vorher noch nie gesehen hat - weil man ja das GeoIP Blocking an hatte. Dann muss man unterwegs u.U. die entsprechenden Angriffs-Zenarien bekämpfen ...
Verwendet man unterwegs in den Ländern diverse WiFi Connections, z.B. weils es an Bord nicht mit dem Satellit geklappt hat: oftmals werden VPN Verbindungen blockiert, wie Z.B. in China oder manchen Inseln in Oceanien. Hier hat es sich bewährt, mehrere verschiedenartige VPNs eingerichtet zu haben (IPSec-VPN, OpenVPN usw.) und dazu 3a. Oft wird nämlich nur eine Art VPN geblockt, andere gehen. Oder der Umweg über ein VPN in ein anderes Land geht usw.
Apropos Inseln, da kann es auch sein, man hat im Vorfeld der Reise gut recherchiert und herausgefunden, zu welchem Land die Inselgruppe gehört, hat das GeoIP Blocking entsprechend deaktiviert und sitzt dann dort in einem Cafe oder in einem Hotel, hat Free-WiFi - aber kann nicht connecten. VPN ist nicht blockert. Warum geht es nicht?, ah die Inselbewohner haben sich einen Richtfunk-Verbindung zum nahen Festland / Nachbarland eingerichtet, jedoch dies hat eine andere Geo IP Adress-Range ... dumm gelaufen.
Internationale SIM Karten / Prepaid Karten: es gilt analog, was ich zu Satelliten Verbindungen geschrieben hatte. Man weiss im Vorfeld nie (und kann es auch kaum mit Sicherheit in Erfahrung bringen), welche Geo-IP Adresse man am Ziel bekommt. So war ich in Indien mit meinem Dual-Sim Smartphone unterwegs, kam nicht auf meine Sophos-geschützen VM mit der günstigen Prepaid-Karte, die ich besorgt hatte. Die 3b Untersuchung ergab, die Sim-Karte buchte sich irgendwo in London ins Internet ein - und UK hatte ich vor der Reise leider nicht freigeschaltet. Das war im Norden Indiens, im Süden könnte es statt dessen Lisabon sein, wenn ich mir die Kolonial-Geschichte in Erinnerung rufe ...
Fazit,
* wer ein wenig mehr reist als nur in der EU muss sich auf alles gefasst machen und sich viele verschiedene Wege zu seinem Rechner präpaieren
* GeoIP Blocking ist für Weltreisende jedenfalls eine interessante zusätzliche Komponente
Gruss
Bernd
Bernd
Ähnliche Themen
-
Datenbeschaffung »-
Download EOD Daten mit MLDownloader nicht mehr möglich
(21. Mai 2017, 12:48)
-
- Talk, Talk und allgemeine Themen »
-
Serverhosting Super, Netfinsh - Nein Danke
(2. Juni 2014, 18:59)
-
- Direktabfrage »
-
Direktabfrage - Formelsprache
(2. Mai 2006, 13:22)