Описывается как сделать gateway сервер (шлюз) на Linux для центра обработки данных на VMware vSphere. Дается инструкция с объяснениями и рисунками по добавлению виртуальной машины и установке операционной системы. Следуя этой инструкции, можно за 2-3 часа создать шлюз, необходимый для нашего центра обработки данных.
Gateway сервер (шлюз) выполняет три основные функции:
- обеспечивает коммуникацию между виртуальными машинами датацентра, компьютерами и серверами внутренней сети компании (Intranet) и внешней средой (Internet);
- защищает виртуальные машины центра обработки данных, компьютеры и серверы внутренней сети от несанкционированного доступа извне и других противоправных действий со стороны пользователей интернета;
- секционирует трафик данных внутренней сети компании.
Кроме того, функции такого шлюза могут быть расширены службами DNS, сервером времени, http-прокси сервером и т. д. Эти службы будут использоваться как пользователями внутри сети (Intranet), так и внешними (Internet). Шлюз так же должен позволять организовывать виртуальные частные сети (VPN) для безопасного доступа к компьютерам внутренней сети из интернета.
Можно купить такое устройство-шлюз, который будет выполнять функции брандмауэра и периферийной защиты внутренной сети Intranet, но нормальные устройства (не игрушечные) стоят весьма немалых денег. Гораздо дешевле сделать gateway сервер (шлюз) на Linux для центра обработки данных самим. Это будет достаточно безопасное, эффективное и гибкое решение. Еще один плюс – для создания и обслуживания такого шлюза достаточно знания основ Linux и не потребуется изучение еще одной операционной системы.
Рис. 1. gateway сервер (шлюз) в датацентре
Таким образом, наш gateway сервер (шлюз) на Linux это виртуальная машина, расположенная в нашем центра обработки данных и обеспечивающая коммуникацию между виртуальными сетями и фильтрацию трафика данных. Как создать центра обработки данных я написал в статьях ….
Как только мы установили гипервизор ESXi (см. “Как установить гипервизор ESXi“, “Как настроить гипервизор ESXi“), нам необходимо обеспечить безопасную связь создаваемого центра обработки данных с внешним миром. То есть, нам нужен шлюз (рис. 1.). Причем нужен по-любому, даже если мы строим простейший центр на одном физическом сервере и бесплатной версии гипервизора ESXi.
Более того, создание центра обработки данных необходимо начинать именно с добавления шлюза. Рассмотрим далее, как это сделать.
Рис. 2. Виртуальные сети
Задача. Мы только что закончили установку гипервизора на сервере, создали виртуальные коммутаторы (см. “Как создать виртуальный коммутатор vSphere“) и все виртуальные сети (Рис. 2.). При наличии большой внутренней сети, может быть еще одна виртуальная сеть – Intranet. Наш управляющий компьютер сейчас подсоединен к внутренней сети, к которой подключен гипервизор. Я ее назвал “ESXi control”. На управляющем компьютере установлен vSphere Client (см. “Загрузка и установка vSphere Client“). Продолжаем создание центра обработки данных.
Следующий шаг это сделать gateway сервер (шлюз) на Linux для нашего датацетра. Процесс создания шлюза начинается с добавления новой (первой) виртуальной машины (см. “Как создать виртуальную машину VMware vSphere“). Особенностью этой виртуальной машины будет достаточно низкая требовательность к ресурсам (процессор, память, диск). Но для этой виртуальной машины нам потребуется много виртуальных сетевых адаптеров. По одной на каждую виртуальную сеть, которую будет коммутировать шлюз. Как только процесс добавления новой виртуальной машины будет успешно завершен, не забудьте задать вручную MAC-адреса каждого виртуального сетевого адаптера. Если этого не сделать, то при миграции (перемещении между серверами) виртуальной машины могут быть потеряны сети. Как это сделать я написал в статье (см. “Как установить операционную систему на виртуальную машину VMware vSphere“).
Рис. 3. Виртуальные сетевые адаптеры
Чтобы не запутаться с многочисленными виртуальными сетевыми адаптерами шлюза, составим таблицу с их параметрами, как это показано на рис. 3.
Для виртуального сетевого адаптера eth0, который будет подключать наш центр обработки данных к интернету, мы должны получить все IPv4 параметры от интернет-провайдера. IP адрес обязательно должен быть постоянным. Кроме того, нам от него еще нужны IP адреса как минимум двух серверов DNS и адрес внешнего шлюза (gateway).
Если не планируется использовать NAS, то можно не создавать виртуальную сеть “NAS control” и соответствующего ей адаптера.
Добавляем gateway сервер (шлюз) на Linux в виртуальную среду
Рис. 4. Название виртуальной машины
В дальнейшем я целенаправленно использую картинки старого vSphere Client, потому что правильный алгоритм построения центра обработки данных должен быть следующим:
- Устанавливаем гипервизор ESXi на сервер
- Добавляем gateway сервер (шлюз) на Linux.
- Живем хорошо в дальнейшем.
А на этом этапе для управления у нас доступен только этот клиент. Будем с ним жить некоторое время.
Чтобы добавить новую виртуальную машину полностью повторяем все шаги, описанные в статье “Как создать виртуальную машину VMware vSphere” с небольшими исключениями. Поскольку требования к вычислительным ресурсам не высокие, при выборе параметров виртуальной машины оставляем одно ядро процессора, 2Гб памяти и 16 ГБ жесткого диска. Этого вполне достаточно. Если в будущем обнаружится, что какого-то ресурса не хватает, то его всегда можно добавить.
Рис. 5. Создание сетевых подключений
В качестве названия виртуальной машины выбираем “Gateway server“, как это показано на рис. 4. На вкладке создания сетевых соединений (“Create Network Connections“) выбираем максимально доступное число виртуальных сетевых адаптеров – 4 (рис. 5.1.). Далее в таблице сети (“Network“) вибираем виртуальные сети для каждого адаптера в соответствии с рис. 3. Тип адаптеров (колонка “Adapters“) оставляем по умолчанию VMXNET 3. Как только все выбрали, необходимо проверить очень тщательно. В случае ошибки виртуальная машина будет выделывать чудеса с подключением к сетям, причину которых найти будет достаточно трудно. Если уверены, что все сделали правильно, кликаем мышкой на кнопке “Next“. Продолжаем далее в соответствии с инструкцией.
Как только создание виртуальной машины завершено, задаем MAC адреса для уже существующих виртуальных сетевых адаптеров и добавляем недостающие. Нам надо добавить еще три адаптера.
оставляем одно ядро процессора, как это показано на рис. 5 в статье “Как создать виртуальную машину VMware vSphere“. Мы не планируем большой объем вычислений на этом виртуальном сервере.
Большой объем оперативной памяти тоже не требуется. Выбираем 2Гб. Также оставляем объем виртуального диска по умолчанию – 16Гб. Этого вполне достаточно. Завершаем создание виртуальной машины в соответствии с инструкцией.
Теперь добавим остальные виртуальные сетевые адаптеры. Зададим их параметры и подключим к виртуальным сетям в соответствии с рис. 3. Как добавить виртуальный сетевой адаптер к виртуальной машине см. “Как добавить виртуальный сетевой адаптер к виртуальной машине vSphere“.
Рис. 6. Параметры виртуальной машины
Не забываем устанавливать MAC адреса вновь добавляемых виртуальных сетевых адаптеров вручную в соответствии с таблицей.
Виртуальная машина для шлюза успешно добавлена и даже все ее многочисленные виртуальные интерфейсы сконфигурированы в соответствии с таблицей на рис. 3. На этом работа с виртуальной аппаратной частью завершена. Мы должны получить описание виртуальной машины как на рис. 6.
Теперь можно устанавливать операционную систему. Возьмем Сent OS Linux v. 6.8. Сейчас в разработке версия 7. Но в нашем случае, главными критериями должны быть надежность, безопасность и стабильность. Поэтому, я выбираю старую (ну и не очень старую) добрую версию 6.8. Остановимся на версии minimal. Это весьма стабильная и безопасная версия, которая будет еще несколько лет поддерживаться сообществом Сent OS. Как установить операционную систему описано в статье “Как установить операционную систему на виртуальную машину VMware vSphere“. Особенностью при установке операционной системы будет опять многочисленность виртуальных сетевых адаптеров.
Мышка будет двигаться не очень точно и медленно, поскольку VMware tools еще не установлены. Поэтому, ограничимся минимальными действиями. В процессе установки зададим параметры только одного сетевого адаптера – eth2, который подключен к управляющей виртуальной сети “ESXi Control“. Зададим все параметры виртуального адаптера из таблицы на рис. 3. А так же IP адреса внешнего шлюза и серверов DNS, которые получены от интернет-провайдера.
Рис. 7. Конфигурация сети
Рис. 8. Выбор интерфейса
На вкладке ввода имени компьютера внизу имеется кнопка “Configure Network” (Конфигурация сети) (Рис. 7.). Кликаем на нее и получаем окошко выбора виртуального сетевого адаптера для конфигурации. В соответсвии с таблицей на рис. 3 выбираем eth2 (см. рас. 8.) и кликаем на кнопку “Edit” (изменить). Появится окно ввода и редактирования параметров виртуального сетевого адаптера eth2 (рис. 9.)
Рис. 9. Параметры интерфейса
Рис. 10. IPv4 параметры интерфейса
Надо подтведить “Connect automatically” и перейти на вкладку “IPv4 Settings” (параметры IPv4) (см. рис. 10).
Нажимаем на кнопку “Add” (добавить) и вводим поаледовательно IP адрес (п. 1.), маску подсети (п. 2.) и шлюз (полученный от интернет-провайдера) (п. 3.).
В поле “DNS servers” вводим IP адреса серверов DNS, которые получили от интернет-провайдера через пробел (п. 5.) и в поле “Search domains” домены, которые будут добавляться автоматически к имени компьютера.
Наживаем кнопку “Apply” (применить). Виртуальный сетевой адаптер eth2 успешно сконфигурирован.
Далее необходимо установить временную зону и задать пароль суперпользователя root. Устанавливаем все пакеты и перезагружаем виртуальную машину.
Рис. 11. Профиль Bitvize tunnellier
Пытаемся создать безопасное соединение ssh к серверу с управляющего компьютера. Как это сделать см. “Что такое ssh/sftp и для чего он нужен?” для OS Linux (OSX) или “SSH клиент для Windows PuTTY” и “Клиент SSH для Windows Bitvise Tunnelier” для Windows. Имя пользователя root и пароль – тот, который только что задали. Для тестирования возможности соединения будем использовать Bitvise Tunnelier, поскольку мы на Windows. На рис. 11 показан профиль для Bitvise Tunnelier для создания безопасного соединения с gateway сервер (шлюзом) на Linux.
Если после нажатия на кнопку “Login” (Войти) появится всплывающее окно, как на рис. 12, то все сделано правильно и безопасное соединение с сервером установлено успешно.
Рис. 12. Соединение SSH установлено
Если соединение не установлено, то, скорее всего, неправильно задана виртуальная сеть для интерфейса. Посмотрим как это исправить.
- Запускаем vSphere Client и соединяемся с гипервизиром, как это описано в “Загрузка и установка vSphere Client“
- На дереве элементов (левая боковая колонка) выбираем сервер, на котором будем создавать виртуальную машину – просто нажать на нем правой кнопкой мышки (См. “Что такое рабочий стол vSphere Client“).
- В появившемся меню выбираем строку “Open Console” (Открыть окно терминала) (Рис. 12).
Рис. 12. Меню виртуальной машины
- В появившемся окне терминала входим как суперпользователь root и выводим на экран содержимое файла /etc/udev/rules.d/70-persistent-net.rules (рис. 13)
less /etc/udev/rules.d/70-persistent-net.rules
Рис. 13. Параметры сетевых адаптеров
- Находим eth2 и запоминаем его MAC адрес. Выключаем сервер.
/sbin/shutdown -h now - Как только сервер остановиться, открываем меню виртуальной машины (пп. 1 и 2 выше) и выбираем “Edit Settings“.
- В появившемся окне выбираем последовательно все виртуальные сетевые адаптеры и находим адаптер с MAC адресом, который мы только что запомнили. Подключаем его к виртуальной сети “ESXi Control”.
- Аналогично переключаем остальные виртуальные сетевые адаптеры.
- Запускаем сервер и создаем с управляющего компьютера к нему безопасное соединение SSH.
Описано как сделать gateway сервер (шлюз) на Linux для центра обработки данных на VMware vSphere. Дана инструкция с объяснениями и рисунками. Следуя этой инструкции мы только что добавили виртуальную машину для шлюза и установили на нее операционную систему. Продолжаем.Читать дальше
No comments yet.