VMware ESXi auf Hetzner-Servern - Einleitung

Veröffentlicht am Januar 9, 2013

Wir beschreiben in diesem Dokument, wie man auf Hetzner-Servern mit Hardware-RAID (am Beispiel EX4) VMware ESXi zur Virtualisierung nutzt, von der Bestellung über die Installation, Konfiguration und Update bis zu einem fertigen ESXi 5 mit pfSense als Router/Firewall kommt. Ebenso wird erklärt, wie man das Netzwerk konfigurieren kann und wie man VPN etc. einrichtet.

Vorwort

Dieses Dokument wurde erstellt von Sven Timmermann von https://s-jt.eu , Frank Zavelberg von http://tiahost.de.

Unser Dank geht an die Firma Hetzner Online AG für ihre Untersützung dieses Projekts. Hetzner Online AG hat einen EX4 mit Raid-Controller und Subnetzen für dieses Projekt zur Verfügung gestellt.

Wir möchten uns auf diesen Weg noch einmal Bedanken! Und Wünschen uns eine weitere sehr gute Zusammenarbeit!

Annahmen

  • Es sollen mehr als 3 VMs auf dem Server betrieben werden
  • Es soll ein IPv4 + IPv6 System betrieben werden
  • Einige VMs brauchen keine externe IP und kommen in ein privates LAN, um IPs zu sparen
  • VPN wird verwendet
  • Wir haben eine "administrative Domain", die extern auflösbar ist. Wir verwenden Hostnamen unter dieser Domain für den ESXi-Host, den Router und die VMs.

Serverbestellung

Bestellung

  • In der Auswahlliste des zu installierenden Systems ist VMware noch nicht verfügbar, daherHetzner-server-bestellen
  • wählen wir dort "Rescue".
  • Auf der Addon-Seite wählen wir das Flexi-Pack und den 2-Port Hardware-RAID-Controller.
  • Im Kommentarfeld geben wir an, daß wir ESXi installiert haben möchten.
    • Früher mußte man die Installation selbst über die LARA machen, inzwischen erledigt der Support das. Ebenso richtet der Support direkt das RAID-1 ein. Der ESXi wird quasi "schlüsselfertig" ausgeliefert.

 Auftragseingangsbestätigung

Diese wird automatisch generiert und sollte sofort per Email eintreffen.

Sehr geehrter Herr ...,

Vielen Dank für Ihre Bestellung und das entgegengebrachte Vertrauen.

Bitte überprüfen Sie Ihre Daten auf Richtigkeit. Sollten Sie Änderungswünsche
haben oder die Bestellung irrtümlich versandt worden sein, so informieren Sie
uns bitte per E-Mail an server_bestellung@hetzner.de.

==============================================
Ihre Bestellung:
==============================================
1 x Root Server EX 4
* Rescue-System (Englisch, 64 bit)
* FlexiPack
* 2-Port Hardware RAID-Controller
==============================================
Zusätzliche Anmerkungen:
==============================================
...

Auftragsbestätigung

Da es sich bei der Bestellung um eine "Spezialanfertigung" handelt, wird der Auftrag manuell vom Support überprüft. Dies geschieht zu Bürozeiten (Mo-Fr 8-17h). Wenn dies erledigt ist, wird die Auftragsbestätigung per Email versandt.

Sehr geehrter Herr ...

vielen Dank für Ihren Auftrag und das entgegengebrachte Vertrauen.
Wir informieren Sie, sobald Ihr Auftrag ausgeführt wurde.

Server-Fertigstellung

Sobald der Server installiert und nutzungsbereit ist, erhalten wir eine Email mit Netzwerk- und Login-Daten.

Sehr geehrter Herr ...

Ihr Hetzner-Server EX 4 #...... (5.9.86.110)
wurde soeben fertiggestellt und Ihr Zugang aktiviert. Sie können
sich ab sofort mit folgenden Zugangsdaten auf Ihrem Server via
SSH2 einloggen:

IP-Adresse: 5.9.86.110
Login:      root
Passwort:   TOPSECRET

Der Login gilt für den vSphere-Client und auch für SSH. Hetzner konfiguriert den ESXi schon passend vor, so daß der SSH-Login und die lokale Konsole aktiviert (und die zugehörigen Sicherheitswarnungen im Client deaktiviert) sind.

IPs und Subnetze

Zum Betrieb von mehr als 3 VMs wird für IPv4 eine Router-VM gebraucht, da Hetzner nur 3 Zusatz-IPs ohne Subnetz anbietet. (Hier Erklärung, warum Subnetz) Folgende Schritte müssen wir durchführen, um unsere IPs und Subnetze für IPv4 und v6 zu erhalten.

IPv4 IP und Subnetz bestellen

  • Wir bestellen über den Robot eine zusätzliche IPv4 (--SCREENSHOT--) und geben als Begründung an, daß wir diese für Virtualisierungszwecke für die Router-VM brauchen.
    • Durch die Begründung sollte Hetzner der IP direkt eine separate MAC zuweisen. Sollte das nicht der Fall sein, können wir das nach Zuweisung der IP im Robot, unter Server/IPs selbst veranlassen (über das Icon mit dem Monitor neben der Adresse).
  • Anschließend bestellen wir ein /29 oder /28 IPv4 Subnetz, mit der gleichen Begründung (Virtualisierungszwecke; IPs für VMs).
    • Durch diese Begründung routet der Support das Netz üblicherweise selbstständig auf die MAC-Adresse, die der zusätzlichen IP aus dem vorigen Schritt zugeordnet wurde. Wir können dies aber auch explizit in die Begründung reinschreiben. Falls das Routing nicht entsprechend eingerichtet wird, merken wir das daran, daß die VMs auf den Subnetz-IPs später nicht erreichbar sind. In diesem Fall reicht eine weitere Supportanfrage mit der Bitte, das Subnetz richtig zu routen.

IPv6 Subnetze bestellen

  • Wir bestellen ein IPv6 /64 Subnetz. Dies geht ohne Begründung.
  • Dann bestellen wir ein zweites IPv6 /64 Subnetz. (Erklärung, wofür nötig)
    • Dies geht noch nicht automatisch über den Robot. Daher stellen wir eine Supportanfrage für den Server, Typ "Server-Anfragen / Andere Server-Anfragen".
    • Wir formulieren in der Anfrage, daß wir gerne für Virtualisierungszwecke ein zweites IPv6 Subnetz hätten, welches auf die Adresse ...::2 des ersten Subnetzes geroutet werden möchte.

Bestellbestätigungen

Die Bestätigungen mit den IP-Informationen trudeln ein.

Zusatz-Einzel-IPv4

Sehr geehrter Herr ...

nachstehend finden Sie Ihre zusätzliche IP-Adresse, die dem Server EX 4 #183593 (5.9.86.110) zugewiesen ist.
Bitte beachten Sie, dass Sie die IP-Adresse nur für diesen Server verwenden können.

IP: 5.9.86.121
Gateway: 5.9.86.97
Maske: 255.255.255.224
MAC: 00:50:56:00:28:EA

An der Tatsache, daß in der Email eine MAC-Adresse angegeben wird, können wir sehen, daß der Support direkt eine separate MAC für die neue IP angelegt hat.

IPv4 Subnetz

Sehr geehrter Herr ...

nachstehend finden Sie Ihre zusätzlichen IP-Adressen, die dem Server 5.9.86.121 zugewiesen sind.
Bitte beachten Sie, dass Sie das Subnetz nur für diesen Server verwenden können.

IP: 5.9.182.192 /29
Maske: 255.255.255.248
Broadcast: 5.9.182.199

Verwendbare IP-Adressen:
5.9.182.193 bis 5.9.182.198

Am Satz "die dem Server 5.9.86.121 zugewiesen sind" sehen wir, daß das Subnetz bereits korrekt auf die Zusatz-IP geroutet wurde. Nicht verwirren lassen, daß der "Server" hier im Gegensatz zu vorhin mit der Zusatz-IP bezeichnet wird, dies ist korrekt so.

IPv6 Subnetz 1

Sehr geehrter Herr ...

nachstehend finden Sie Ihre zusätzlichen IP-Adressen, die dem Server #183593 zugewiesen sind.
Bitte beachten Sie, dass Sie das Subnetz nur für diesen Server verwenden können.

IPs: 2a01:4f8:162:10a1:: /64
Gateway: 2a01:4f8:162:10a0::1 /59
Verwendbare IP-Adressen:
2a01:4f8:162:10a1::2 bis 2a01:4f8:162:10a1:ffff:ffff:ffff:ffff

Dieses Netz verwenden wir für die Router-VM, und könnten es verwenden, um dem ESXi-Host selbst eine v6-Adresse zu geben.

IPv6 Subnetz 2

Sehr geehrter Herr ...

nachstehend finden Sie Ihre zusätzlichen IP-Adressen, die dem Server #183593 zugewiesen sind.
Bitte beachten Sie, dass Sie das Subnetz nur für diesen Server verwenden können.

IPs: 2a01:4f8:162:1ffc:: /64 auf: 2a01:4f8:162:10a1::2

Quest stage completeHetzner-robot-serveransicht

Wenn alles fertig ist, sieht der Server im Robot wie folgt aus.
Man beachte, daß wir hier Hostnamen unserer administrativen Domain "tianet.de" vergeben haben. Der Server sollte jetzt unter der ersten IP anpingbar sein, ebenso kann dort mittels vSphere-Client und SSH eingeloggt werden.
Sollte die Zusatz-IP keine eigene MAC-Adresse vom Support erhalten haben, klicken wir auf das kleine Monitorsymbol neben der Adresse. Damit wird die MAC automatisch und quasi sofort zugewiesen.

14 comments on “VMware ESXi auf Hetzner-Servern - Einleitung”

  1. Hallo, bei meiner Bestellung der neuen EX40 und dem Hinweis auf VMware ESXi Server Software wurde leider auf die Selbstinstallation mit LARA verwiesen:
    --
    Sehr geehrter xyz,

    vielen Dank für ihre Bestellung. ESXI können Sie nachdem der Server online gegangen über die LARA Konsole installieren.
    Um die Lara zu bestellen, loggen Sie sich bitte in Robot ein und gehen auf "Anfragen" -> "Serveranfragen". Hier können Sie eine LARA für Ihren Server bestellen, eine Uhrzeit angeben, wann Sie die LARA möchten. Vermerken Sie bitte außerdem, dass Sie die einmaligen Kosten in Höhe von 25 Euro akzeptieren.

    Mit freundlichen Grüßen
    --

    Sehr schade :-/

    1. Hey,

      das ist doch kein Problem, klar ist das Schade wegen den 25€ aber du installierst das ja nur einmal. Oder du probierst es einfach mal auf gut Glück und bestellst dir eine Lara Kostenlos und hoffst das die ein ISO-Mount OPtion hat, manchmal gibt’s das nämlich.

      R/Sven

        1. 😉 is immer besser ausserdem hast es dann auch auf Deiner Seite stehen.

          Mir ist noch nocht 100% klar, was ich auf welchem System wo eintragen muss.

          I have to modify the vpxa.cfg file from my ESXi - Host at Hetzner.de?

          And at ExtESXi I have to add the NAT-IP-Adress from my local vSphere-Server means the

          NAT_IP_address

          oder sehe ich das falsch?

          Markus

  2. Also du musst in der genannten Datei auf den ESXi Hosts die interne IP ändern zu der IP deiner Firewall eintragen.

    In der Firewall musst du dann die Ports öffnen für die ESX Server

    902
    903
    443
    5989

    Und weiterhin musst du halt auch noch eine NAT Regel erstellen das diese Ports an dein vCenter weitergereicht werden.

    //Edit:

    Hier die Screenshots:
    As example my FW Rule in pFsense: https://www.evernote.com/shard/s50/sh/185c53c8-df3a-4593-9ea1-b87c1affb1c6/f577d8e2ae36eb2ff223e3e9f06ea9c8

    And here my NAT Rule: https://www.evernote.com/shard/s50/sh/90195880-4ddf-4ad5-81b2-28ce1e60f6da/a87b8ef321ca138df39de4b6c5360625

  3. Hallo erst einmal danke für das Tut nur ich komme nicht weiter ich habe auch einen Server bei Hetzner.

    Habe dort alle Ps ausgeschöpft und nun ein Subnet mit 6 Ips bekommen.

    Doch ich bekomme es nicht hin mit den SubIPs in ESxi 5.1 VMs anzulegen bzw das diese eben online gehen. Ich habe versucht nach diesem WIKI http://wiki.hetzner.de/index.php/VMware_ESXi#IPv4 von Hetzner dirket zu arbeiten aber die VMs im Subnet komen nicht raus.

    Ich habe diese RouterVM angelegt mit einer der IPs die eine eigen MAC die kann auch rausgehen das geht alles und eben eine IP aus dem Subnet wie es dort beschrieben steht.

    Habe auch die SubVMs so eingerichtet wie es dort steht. Aber die kommen einfach nicht raus.

    Hoffe auf einen Tipp von euch.

    MFG Patrick

  4. Hey Sven,
    ich mal wieder .... bin nun schon einen ganzen Schritt weiter und musste auf ein Hetzner-Subnet wechseln. Die fpSense läuft auch schon soweit, wenn ich die FW deaktiviert habe. Ist diese aber an komme ich nicht raus.
    Kannst Du mir mal erklären welche FW-Regel man an welchem If genau erstellen muss?
    Schonmal vielen Dank für Deine Hilfe.

    Markus

    1. Hi,

      ich versuche dir ja per Hangouts bei google zu schreiben.

      Du musst natürlich auch noch Firewallregeln bauen damit du raus kannst...

      So standard sachen wie http/https/dns/ntp wären da schon Hilfreich 😀

      Viele Grüße
      Sven

  5. oh, ich sehe nix in hangouts. Kannst Du mir vll Deine Emailadresse Mailen?
    Grundsätzlich soll die fpSense nur routen und zwar den kompletten Ip-Stack, ohne Einschränkungen. Die Einschränkungen mach ich auf den Maschinen.

    Markus

  6. Hi Sven, danke für Deine Anleitung.
    Bei mir läuft nun auch ein ESXi5 auf einem Hetzner Server. Zusätzlich habe ich 3 externe IP's bestellt. Die Konfiguration läuft soweit.
    Derzeit ist der ESXI allerdings von außen per externer IP erreichbar.
    Seht Ihr eine Möglichkeit das Ding von außen abzuschotten, oder kann man nicht mehr machen, als die VMware Security Hardening Guides umzusetzen?

    Grüße
    Holger

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

© 2011-2019 SJT CONSULTING – Alle Rechte vorbehalten. | Datenschutz | Impressum