Подняли изолированный хост ESXi в DMZ. Выход в сеть через шлюз. Шлюз на FreeBSD, подключен к DMZ (сеть 172.16.5.0/24) и основной LAN 10.0.0.0/24 (в лан – vSphere, остальные хосты esxi, файловый сервер (NFS). Задача – заставить хост ESXi в изолированной сети работать с NFS хранилищем в удаленной сети.

Шлюз. FreeBSD. KernelNAT:

${fwcmd} add nat 1 ip from any to any

Эта строка в ipfw позволяет роутить и натить все на всех трех интерфейсах – интерфейс в интернет, и два интерфейса – в DMZ и локальную общую сеть.

Далее ESXi. Для работы с маршрутами в ESXi есть команда esxcfg-route. Из GUI – в консоли и через vSphere мы можем настроить дефолтный шлюз. Чтобы настроить дополнительный маршрут – нужен ssh (или наверное через CLI тоже можно). Я делал в ssh.

Просмотр маршрутов:

#esxcfg-route --list

Добавляем маршрут в LAN сеть:

#esxcfg-route -a 10.0.0.0/24 172.16.5.1

172.16.5.1 – айпи шлюза в ДМЗ. Командой говорим – все что для 10.0.0.0/24 шлем на 172.16.5.1.
После этого можно пинговать интерфейс шлюза в сети 10.0.0.0/24 (у меня это 10.0.0.2).

Далее. Теперь для того чтобы хост из LAN (NFS сервер в нашем случае) знаку куда отправлять ответные пакеты настраиваем маршрут на нем.

Пусть это хост 10.0.0.10. У меня это CentOS. Делаем:

#route add -net 172.16.5.0 netmask 255.255.255.0 gw 10.0.0.2
Указываем именно gw (просто указания интерфейса недостаточно).

Все. После этого пинг будет проходить от хоста из ДМЗ до NFS сервера и обратно.
Далее правим exports для того чтобы дать доступ к NFS машинам из сети DMZ (172.16.5.0/24).

/storage 172.16.5.0/24(rw,insecure,async,no_root_squash)

И применим изменения:

#exportfs -r

Теперь идем на наш xост ESXi и подключившись клиентом (через шлюза по впн) добавляем NFS хранилище. Все должно подмонтироваться без проблем.

PS: На винде маршрут к удаленной сети добавляем командой (пример):

route add 10.0.0.0 172.16.5.1

Столкнулся с невозможностью заменить сертификаты на хосте введённом в кластер vSphere.
Делаем generate-certificates.sh, смотрим что сертификаты изменились:

#cd /etc/vmware/ssl
/etc/vmware/ssl # ls -l
-rw-r--r-T    1 root     root               1058 Apr 18 12:11 rui.crt
-rw-r--r-T    1 root     root                891 Apr 18 12:11 rui.key

Перезагружаемся и …видим что сертификаты старые.

Оказалость в ESXi есть скрипт (auto-backup.sh) который каждый час бэкапит определённые файлы (в частности с установленным стики бит и др.) и помещает их в архив /bootbank/state.tgz. Во время старта файлики из архива извлекаются и раскладываются по директориям, восстанавливая состояние машины.

По умолчанию при установке ESXi генерит самоподписанные сертификаты и при соединении с хостом мы получаем предложение установить сертификат и ошибку при подключении в CLI:

#connect-viserver servername.com

WARNING: There were one or more problems with the server certificate: 
* The X509 chain could not be built up to the root certificate. 
The certificate's CN name does not match the passed value. 

Продолжить чтение →

Чтобы не забыть – из разряда алхимии. На хосте ESXi после перезапуска отваливается сеть, приходится чекать свободный интерфейс руками. Видимо настраивался хост на один интерфейс, а реально рабочий – другой. В итоге после этого получаем отвечающий хост ESXi, но недоступные вирт машины на этом хосте – аренду по DHCP не берут, если настроить сеть вручную пинг проходит только до айпишника хоста ESXi – дальше не пускает. Решение – идём в настройки сетевого интерфейса (мы используем vCenter Server – Hosts and Clusters – выбираем хост – Configuration – Networking – Properties (нашего физического интерфейса) – далее в свойствах самого интерфейса – Auto Negotiate. Кроме того – разрешаем NIC teaming в VM Network – если машина не найдёт интерфейс для внутреннего трафика – активирует свободный интерфейс автоматом.

После небезопасного отклчения электроэнергии получили в консоли vCenter Server невозможность синхронизации данных с хостами ESXi и список машин – orphaned, inaccessable, unknown

Проблема на самом деле с самим vCenter Server и его базой. По сути vCenter Server это некая прокся которая позволяет централизовано управлять фермой ESXi серверов, хранит свои данные в базе MSSQL или оракл и в принципе является надстройкой на гиперизорами ESXi.

Продолжить чтение →

Столкнулся с проблемой запуска vmware client на машине с windows7.
При авторизации вываливалась ошибка:

Error parsing the server "clients.xml" file

При этом -vCenter Server и клиент – версия 4.0.
В сети есть описание как решить эту проблему путём манипуляций с файлами и библиотеками, но можно попробовать поставить клиент 4.1 (у меня был под рукой) и попробовать подключиться к серверу. Сервер предложит «обновить» клиент и поставит 4.0. Ошибка должна уйти.