Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: this_feature_currently_requires_accessing_site_using_safari
Wenn du dich mal entscheiden könntest, ob wir jetzt von Web-Client direkt am Netz oder irgendwelchen TMG-Geschichten reden (die ich im Übrigen auch für viel zu komplex halte um sicher zu sein), dann wäre es leichter. Ausgangspunkt der Diskussion war Web-Client direkt am Netz.
Ansonsten halte ich einen OpenSource-VPN-Server wie OpenVPN, der mit richtiger Kernel-/Userspace-Trennung arbeitet und auf einem gehärteten System läuft, oder auch eine jahrelang "auditete" IPsec-Implementierung, hinter denen dann eine Firewall den Traffic nochmals einschränkt, für die beste Lösung, anstatt einen obskuren ClosedSource-Codeball mit einem zweiten obskuren ClosedSource-Codeball aka TMG zu "sichern".
Wir scheinen aus unterschiedlichen Zeiten zu stammen. Ich weiß lieber genau, was abläuft, anstatt in einer bunten Oberfläche mir was zurechtzuklicken und zu glauben, das wäre halbwegs sicher.
Aber wenn die Systeme alle keine Öffentliche Anbindung haben (weil die über das System hergestellt wird das auf dem iLO-Rechner läuft? Das System war/ist quasi Frontend/Gateway/Firewall/VPN etc...)
Aber BTT: Soviel zu den public erreichbaren Diensten
??
Ich soll mich entscheiden? Du kreidest mir hier an, das man sowas nicht macht und interpretierst selbstständig irgendwelche Sachen rein die gar nicht Teil der Argumentation meinerseits waren... Lies doch, was ich schrieb... Es steht in keinster Weise irgendwo aus meiner Feder, das ich den WebClient direkt public betreibe. Sondern ich schrieb (sogar zweimal!) das ich wenn dann sowas über irgend ein Access Gateway ala TMG schleifen würde. Die erste Ausführung bezogt sich dabei klar ersichtlich auf das Endresultat. Nämlich den Zugriff auf den WebClient via INet. Meine Aussage war: "Vorteil ist aber in jedemfall, man kann den Spaß schön von public nutzen ohne VPN und Co."
Es ist HTTPS -> spricht im Grunde nix gegen. Oder wo siehst du dort ein Problem?Du würdest das vCenter WebGUI von aussen direkt ohne VPN erreichbar machen?
Aber nicht in einer produktiven Umgebung, oder?
Bei uns läuft zwar aktuell nicht die produktive Umgebung nach public, meine Testumgebung hatte ich aber von Zuhause aus erreichbar...
Aktuell habe ich aber nicht die Zeit, das ganze mal über unseren TMG zu schieben und zu testen, ob das überhaupt lüppt
Ahja...
Auf diesen schizophrenen Müll habe ich absolut keinen Bock. Mach was du willst.
Erst meckern und dann kein bock auf ne diskusion haben, sollte evtl. vorher überlegt werden.....
Mir gefällt deine ParanoiaDas glaubt ihr
Schau dir doch mal das Zitat an. Das widerspricht sich in der Tat.Erst meckern und dann kein bock auf ne diskusion haben, sollte evtl. vorher überlegt werden.....
Schau dir doch mal das Zitat an. Das widerspricht sich in der Tat.
Du wolltest wissen, was das Problem an einem öffentlichen Zugang direkt zum vCenter-Web-Interface ist. HTTPS hilft hier genau gar nichts.Ich sagte von Anfang an, das der Zugriff potentiell kein Problem ist, weil HTTPS Verschlüsselt... Daraufhin kommst du mit Ausflüchten von wegen, WebClient direkt public usw. keine Zugriffskontrolle und der Sinnhaftigkeit von VPN -> was nirgends auch nur ansatzweise von meiner Seite angesprochen, geschweige denn als irrelevant hingestellt wurde. Wenn ja, bitte zeig mir die Pasage!
Dagegen spricht, dass öffentlicher Zugriff von überall nicht nötig ist. Das reicht. Ganz simples Konzept. Ich muss nicht irgendwelche konkreten Lücken im Webinterface nachweisen, damit diese Aussage richtig wird. Er hat im öffentlichen Netz einfach nichts verloren.Mal ganz davon ab, außer irgendwelchen voreingenommenen Meinungen bzw. pauschalem Geplänkel kannst du ja nichtmal stichhaltige Aussagen bringen, was gegen eine wie auch immer geartete Webveröffentlichung des WebClients selbst spricht... Aber andere belehren wollen, wie "Sicherheit funktioniert".
Du wolltest wissen, was das Problem an einem öffentlichen Zugang direkt zum vCenter-Web-Interface ist. HTTPS hilft hier genau gar nichts.
Dagegen spricht, dass öffentlicher Zugriff von überall nicht nötig ist. Das reicht. Ganz simples Konzept. Ich muss nicht irgendwelche konkreten Lücken im Webinterface nachweisen, damit diese Aussage richtig wird. Er hat im öffentlichen Netz einfach nichts verloren.
Muss ich speziell weils ein Exchange ist auf noch etwas achten?
ESXi frägt, wenn man die VMX in den Bestand hinzufügt, ob die VM "kopiert" oder "verschoben" wurde. Ist doch beides richtig. Was wählt man aus? Verschoben in dem Fall, oder!?
Grüße
Auch das ist viel zu pauschal... Ich bin drauf angewiesen, dass ich von Zuhause aus auf unsere ESX Infrastruktur komme, die Weltweit irgendwo verstreut steht. Einfach weil es mein Job ist diese Systeme zu betreiben/zu betreuen... Und ich kann schlicht und ergreifend nicht überall physisch hinfahren. Ebenso wenig bin ich 24/7 also rund um die Uhr an meinem Arbeitsplatz...
Ein Zugriff von Extern, wie auch immer geartet ist also zwingend Notwendig. Und dabei bietet mir der WebClient nochmal ein Stückweit mehr Flexibilität, denn ich bin nicht zwingend darauf angewiesen, irgendeine VPN Connection aufbauen zu müssen, wie es ohne diesen zwingend notwendig ist. Einfach weil diese auch nicht immer und überall aufbaubar ist, was durchaus bekannt sein dürfte.
ESXi frägt, wenn man die VMX in den Bestand hinzufügt, ob die VM "kopiert" oder "verschoben" wurde. Ist doch beides richtig. Was wählt man aus? Verschoben in dem Fall, oder!?
Grüße
Du würdest das vCenter WebGUI von aussen direkt ohne VPN erreichbar machen?
Aber nicht in einer produktiven Umgebung, oder?
Es ist HTTPS -> spricht im Grunde nix gegen. Oder wo siehst du dort ein Problem?
Bei uns läuft zwar aktuell nicht die produktive Umgebung nach public, meine Testumgebung hatte ich aber von Zuhause aus erreichbar...
Aktuell habe ich aber nicht die Zeit, das ganze mal über unseren TMG zu schieben und zu testen, ob das überhaupt lüppt
Äh... dass man das jetzt wirklich erklären muss, macht mich echt betroffen.
Ne mal ehrlich, wo ist das Problem?
Der Sinn von VPN ist in dem Fall nicht die Vertraulichkeit, die HTTPS auch hat, sondern die Zugriffskontrolle.
Du wolltest wissen, was das Problem an einem öffentlichen Zugang direkt zum vCenter-Web-Interface ist. HTTPS hilft hier genau gar nichts.
Nein, wieder falsch... Das stimmt schlicht nicht und war definitiv nicht meine Aussage...
So kann man es machen... Der Exchange muss dazu aber zwingend runtergefahren werden/sein!
Wenn du dir den umständlichen Zwischenschritt sparen willst, die VM erst irgendwo runterzuladen, zwischenzubunkern und dann auf dem anderen ESXi wieder hochzuladen, kannst du auch den VMware Converter nehmen...
Wichtig dabei ist aber, das du möglichst die orginal VMX Datei vom Quellsystem mit dem von dir genannten Weg runter lädst und dann die auf dem Zielsystem überschreibst. Denn dort stehen diverse IDs, MAC Adressen usw. fix verankert. Der Converter selbst erzeugt beim Convertieren aber neue -> was unter Umständen problematisch ist.
Vorteil liegt klar auf der Hand, du sparst dir den Zwischenschritt des Runterladens -> denn der Converter zieht die Daten von der Quelle runter, schiebt sie in nen kleinen Cache und bringt die danach fast Live auf das Zielsystem -> Zeiteinsparung knapp die Hälfte für das reine Datenübertragen. + die Arbeit, die VMX Datei auf dem Ziel zu überschreiben und diese dann überschriebene VMX neu im Inventary registrieren...
Jupp... Im zweifel verschieben... Denn bei Kopieren werden neue IDs erzeugt -> was gegen den Baum gehen kann.
Anbei ein Screenshot aus dem vSphere Client zur Speichernutzung der Exchange-VM. Der Datastore auf dem Zielhost hat total 930GB. Das sollte dann grad so passen. Ist das problematisch wenn der Datastore an der Kapazitätsgrenze läuft?