Wir beschreiben in diesem Dokument, wie man auf Hetzner-Servern mit Hardware-RAID (am Beispiel EX4) VMware ESXi zur Virtualisierung nutzt, von der Bestellung über die Installation, Konfiguration und Update bis zu einem fertigen ESXi 5 mit pfSense als Router/Firewall kommt. Ebenso wird erklärt, wie man das Netzwerk konfigurieren kann und wie man VPN etc. einrichtet.
Vorwort
Dieses Dokument wurde erstellt von Sven Timmermann von https://s-jt.eu , Frank Zavelberg von http://tiahost.de.
Unser Dank geht an die Firma Hetzner Online AG für ihre Untersützung dieses Projekts. Hetzner Online AG hat einen EX4 mit Raid-Controller und Subnetzen für dieses Projekt zur Verfügung gestellt.
Wir möchten uns auf diesen Weg noch einmal Bedanken! Und Wünschen uns eine weitere sehr gute Zusammenarbeit!
Annahmen
- Es sollen mehr als 3 VMs auf dem Server betrieben werden
- Es soll ein IPv4 + IPv6 System betrieben werden
- Einige VMs brauchen keine externe IP und kommen in ein privates LAN, um IPs zu sparen
- VPN wird verwendet
- Wir haben eine “administrative Domain”, die extern auflösbar ist. Wir verwenden Hostnamen unter dieser Domain für den ESXi-Host, den Router und die VMs.
Serverbestellung
Bestellung
- In der Auswahlliste des zu installierenden Systems ist VMware noch nicht verfügbar, daher
- wählen wir dort “Rescue”.
- Auf der Addon-Seite wählen wir das Flexi-Pack und den 2-Port Hardware-RAID-Controller.
- Im Kommentarfeld geben wir an, daß wir ESXi installiert haben möchten.
- Früher mußte man die Installation selbst über die LARA machen, inzwischen erledigt der Support das. Ebenso richtet der Support direkt das RAID-1 ein. Der ESXi wird quasi “schlüsselfertig” ausgeliefert.
Auftragseingangsbestätigung
Diese wird automatisch generiert und sollte sofort per Email eintreffen.
Sehr geehrter Herr …,
Vielen Dank für Ihre Bestellung und das entgegengebrachte Vertrauen.
Bitte überprüfen Sie Ihre Daten auf Richtigkeit. Sollten Sie Änderungswünsche
haben oder die Bestellung irrtümlich versandt worden sein, so informieren Sie
uns bitte per E-Mail an server_bestellung@hetzner.de.
==============================================
Ihre Bestellung:
==============================================
1 x Root Server EX 4
* Rescue-System (Englisch, 64 bit)
* FlexiPack
* 2-Port Hardware RAID-Controller
==============================================
Zusätzliche Anmerkungen:
==============================================
…
Auftragsbestätigung
Da es sich bei der Bestellung um eine “Spezialanfertigung” handelt, wird der Auftrag manuell vom Support überprüft. Dies geschieht zu Bürozeiten (Mo-Fr 8-17h). Wenn dies erledigt ist, wird die Auftragsbestätigung per Email versandt.
Sehr geehrter Herr …
vielen Dank für Ihren Auftrag und das entgegengebrachte Vertrauen.
Wir informieren Sie, sobald Ihr Auftrag ausgeführt wurde.
Server-Fertigstellung
Sobald der Server installiert und nutzungsbereit ist, erhalten wir eine Email mit Netzwerk- und Login-Daten.
Sehr geehrter Herr …
Ihr Hetzner-Server EX 4 #…… (5.9.86.110)
wurde soeben fertiggestellt und Ihr Zugang aktiviert. Sie können
sich ab sofort mit folgenden Zugangsdaten auf Ihrem Server via
SSH2 einloggen:
IP-Adresse: 5.9.86.110
Login: root
Passwort: TOPSECRET
Der Login gilt für den vSphere-Client und auch für SSH. Hetzner konfiguriert den ESXi schon passend vor, so daß der SSH-Login und die lokale Konsole aktiviert (und die zugehörigen Sicherheitswarnungen im Client deaktiviert) sind.
IPs und Subnetze
Zum Betrieb von mehr als 3 VMs wird für IPv4 eine Router-VM gebraucht, da Hetzner nur 3 Zusatz-IPs ohne Subnetz anbietet. (Hier Erklärung, warum Subnetz) Folgende Schritte müssen wir durchführen, um unsere IPs und Subnetze für IPv4 und v6 zu erhalten.
IPv4 IP und Subnetz bestellen
- Wir bestellen über den Robot eine zusätzliche IPv4 (–SCREENSHOT–) und geben als Begründung an, daß wir diese für Virtualisierungszwecke für die Router-VM brauchen.
- Durch die Begründung sollte Hetzner der IP direkt eine separate MAC zuweisen. Sollte das nicht der Fall sein, können wir das nach Zuweisung der IP im Robot, unter Server/IPs selbst veranlassen (über das Icon mit dem Monitor neben der Adresse).
- Anschließend bestellen wir ein /29 oder /28 IPv4 Subnetz, mit der gleichen Begründung (Virtualisierungszwecke; IPs für VMs).
- Durch diese Begründung routet der Support das Netz üblicherweise selbstständig auf die MAC-Adresse, die der zusätzlichen IP aus dem vorigen Schritt zugeordnet wurde. Wir können dies aber auch explizit in die Begründung reinschreiben. Falls das Routing nicht entsprechend eingerichtet wird, merken wir das daran, daß die VMs auf den Subnetz-IPs später nicht erreichbar sind. In diesem Fall reicht eine weitere Supportanfrage mit der Bitte, das Subnetz richtig zu routen.
IPv6 Subnetze bestellen
- Wir bestellen ein IPv6 /64 Subnetz. Dies geht ohne Begründung.
- Dann bestellen wir ein zweites IPv6 /64 Subnetz. (Erklärung, wofür nötig)
- Dies geht noch nicht automatisch über den Robot. Daher stellen wir eine Supportanfrage für den Server, Typ “Server-Anfragen / Andere Server-Anfragen”.
- Wir formulieren in der Anfrage, daß wir gerne für Virtualisierungszwecke ein zweites IPv6 Subnetz hätten, welches auf die Adresse …::2 des ersten Subnetzes geroutet werden möchte.
Bestellbestätigungen
Die Bestätigungen mit den IP-Informationen trudeln ein.
Zusatz-Einzel-IPv4
Sehr geehrter Herr …
nachstehend finden Sie Ihre zusätzliche IP-Adresse, die dem Server EX 4 #183593 (5.9.86.110) zugewiesen ist.
Bitte beachten Sie, dass Sie die IP-Adresse nur für diesen Server verwenden können.
IP: 5.9.86.121
Gateway: 5.9.86.97
Maske: 255.255.255.224
MAC: 00:50:56:00:28:EA
An der Tatsache, daß in der Email eine MAC-Adresse angegeben wird, können wir sehen, daß der Support direkt eine separate MAC für die neue IP angelegt hat.
IPv4 Subnetz
Sehr geehrter Herr …
nachstehend finden Sie Ihre zusätzlichen IP-Adressen, die dem Server 5.9.86.121 zugewiesen sind.
Bitte beachten Sie, dass Sie das Subnetz nur für diesen Server verwenden können.
IP: 5.9.182.192 /29
Maske: 255.255.255.248
Broadcast: 5.9.182.199
Verwendbare IP-Adressen:
5.9.182.193 bis 5.9.182.198
Am Satz “die dem Server 5.9.86.121 zugewiesen sind” sehen wir, daß das Subnetz bereits korrekt auf die Zusatz-IP geroutet wurde. Nicht verwirren lassen, daß der “Server” hier im Gegensatz zu vorhin mit der Zusatz-IP bezeichnet wird, dies ist korrekt so.
IPv6 Subnetz 1
Sehr geehrter Herr …
nachstehend finden Sie Ihre zusätzlichen IP-Adressen, die dem Server #183593 zugewiesen sind.
Bitte beachten Sie, dass Sie das Subnetz nur für diesen Server verwenden können.
IPs: 2a01:4f8:162:10a1:: /64
Gateway: 2a01:4f8:162:10a0::1 /59
Verwendbare IP-Adressen:
2a01:4f8:162:10a1::2 bis 2a01:4f8:162:10a1:ffff:ffff:ffff:ffff
Dieses Netz verwenden wir für die Router-VM, und könnten es verwenden, um dem ESXi-Host selbst eine v6-Adresse zu geben.
IPv6 Subnetz 2
Sehr geehrter Herr …
nachstehend finden Sie Ihre zusätzlichen IP-Adressen, die dem Server #183593 zugewiesen sind.
Bitte beachten Sie, dass Sie das Subnetz nur für diesen Server verwenden können.
IPs: 2a01:4f8:162:1ffc:: /64 auf: 2a01:4f8:162:10a1::2
Quest stage complete
Wenn alles fertig ist, sieht der Server im Robot wie folgt aus.
Man beachte, daß wir hier Hostnamen unserer administrativen Domain “tianet.de” vergeben haben. Der Server sollte jetzt unter der ersten IP anpingbar sein, ebenso kann dort mittels vSphere-Client und SSH eingeloggt werden.
Sollte die Zusatz-IP keine eigene MAC-Adresse vom Support erhalten haben, klicken wir auf das kleine Monitorsymbol neben der Adresse. Damit wird die MAC automatisch und quasi sofort zugewiesen.
Hallo, bei meiner Bestellung der neuen EX40 und dem Hinweis auf VMware ESXi Server Software wurde leider auf die Selbstinstallation mit LARA verwiesen:
—
Sehr geehrter xyz,
vielen Dank für ihre Bestellung. ESXI können Sie nachdem der Server online gegangen über die LARA Konsole installieren.
Um die Lara zu bestellen, loggen Sie sich bitte in Robot ein und gehen auf “Anfragen” -> “Serveranfragen”. Hier können Sie eine LARA für Ihren Server bestellen, eine Uhrzeit angeben, wann Sie die LARA möchten. Vermerken Sie bitte außerdem, dass Sie die einmaligen Kosten in Höhe von 25 Euro akzeptieren.
Mit freundlichen Grüßen
—
Sehr schade :-/
Hey,
das ist doch kein Problem, klar ist das Schade wegen den 25€ aber du installierst das ja nur einmal. Oder du probierst es einfach mal auf gut Glück und bestellst dir eine Lara Kostenlos und hoffst das die ein ISO-Mount OPtion hat, manchmal gibt’s das nämlich.
R/Sven
Hallo Sven,
vielen Dank für Deine ausführliche Beschreibung. Die hilft wirklich weiter. Eine Frage habe ich. Verbindest Du Dich nur auf diesen einen ESXi-Host, oder hast Du diese Maschine auch in ein vSphere-Server eingbunden?
Stehe gerade vor diesem Problem….
https://communities.vmware.com/thread/469669
Vielleicht hast Du ja eine Idee?
Markus
Hallo Markus,
hast du NAT im Einsatz?
Viele Grüße
Sven
Hallo Sven,
ja unsere lokalen Systeme werden alle mit unserer externen IP genattet. Spielt das ne Rolle, wenn ja welche?
Markus
So doppelt hält besser, Antwort im Community Post schon drin hier auch noch mal 😉
NAT und vCenter ist Böse 😉
http://kb.vmware.com/selfservice/microsites/search.do?cmd=displayKC&docType=kc&externalId=1010652&sliceId=1&docTypeID=DT_KB_1_1&dialogID=146486579&stateId=1%200%20146490594
Hier ist die Lösung zu deinem Problem.
😉 is immer besser ausserdem hast es dann auch auf Deiner Seite stehen.
Mir ist noch nocht 100% klar, was ich auf welchem System wo eintragen muss.
I have to modify the vpxa.cfg file from my ESXi – Host at Hetzner.de?
And at ExtESXi I have to add the NAT-IP-Adress from my local vSphere-Server means the
NAT_IP_address
oder sehe ich das falsch?
Markus
Also du musst in der genannten Datei auf den ESXi Hosts die interne IP ändern zu der IP deiner Firewall eintragen.
In der Firewall musst du dann die Ports öffnen für die ESX Server
902
903
443
5989
Und weiterhin musst du halt auch noch eine NAT Regel erstellen das diese Ports an dein vCenter weitergereicht werden.
//Edit:
Hier die Screenshots:
As example my FW Rule in pFsense: https://www.evernote.com/shard/s50/sh/185c53c8-df3a-4593-9ea1-b87c1affb1c6/f577d8e2ae36eb2ff223e3e9f06ea9c8
And here my NAT Rule: https://www.evernote.com/shard/s50/sh/90195880-4ddf-4ad5-81b2-28ce1e60f6da/a87b8ef321ca138df39de4b6c5360625
Hallo erst einmal danke für das Tut nur ich komme nicht weiter ich habe auch einen Server bei Hetzner.
Habe dort alle Ps ausgeschöpft und nun ein Subnet mit 6 Ips bekommen.
Doch ich bekomme es nicht hin mit den SubIPs in ESxi 5.1 VMs anzulegen bzw das diese eben online gehen. Ich habe versucht nach diesem WIKI http://wiki.hetzner.de/index.php/VMware_ESXi#IPv4 von Hetzner dirket zu arbeiten aber die VMs im Subnet komen nicht raus.
Ich habe diese RouterVM angelegt mit einer der IPs die eine eigen MAC die kann auch rausgehen das geht alles und eben eine IP aus dem Subnet wie es dort beschrieben steht.
Habe auch die SubVMs so eingerichtet wie es dort steht. Aber die kommen einfach nicht raus.
Hoffe auf einen Tipp von euch.
MFG Patrick
Guten Morgen Patrick,
benutzt du pFsense als Router-VM? Wenn ja hast du auch eine Firewall Regel erstellt das die VMs raus dürfen?
RSven
Hey Sven,
ich mal wieder …. bin nun schon einen ganzen Schritt weiter und musste auf ein Hetzner-Subnet wechseln. Die fpSense läuft auch schon soweit, wenn ich die FW deaktiviert habe. Ist diese aber an komme ich nicht raus.
Kannst Du mir mal erklären welche FW-Regel man an welchem If genau erstellen muss?
Schonmal vielen Dank für Deine Hilfe.
Markus
Hi,
ich versuche dir ja per Hangouts bei google zu schreiben.
Du musst natürlich auch noch Firewallregeln bauen damit du raus kannst…
So standard sachen wie http/https/dns/ntp wären da schon Hilfreich 😀
Viele Grüße
Sven
oh, ich sehe nix in hangouts. Kannst Du mir vll Deine Emailadresse Mailen?
Grundsätzlich soll die fpSense nur routen und zwar den kompletten Ip-Stack, ohne Einschränkungen. Die Einschränkungen mach ich auf den Maschinen.
Markus