远程访问ESXi网页控制台

安装完ESXi之后,最常用的管理方式就是访问ESXi的网页控制台,在局域网里访问很简单,直接访问ip就行了,比如https://192.168.1.99。如果不在局域网里该如何远程访问呢?

首先,宽带最好有公网IP,(动态的要配好DDNS),如果没有公网IP,要使用frp之类的做内网穿透。我这里拿最简单的有公网IP并配好DDNS来举例,假设我宽带公网IP使用DDNS绑定的域名是home.abc.com。

其次,要在宽带光猫或者桥接以后拨号的路由器上做端口转发。这里拿桥接以后用来拨号的路由器来举例。先弄明白需要转发的目标地址和端口号,目标地址就是ESXi所用的192.168.1.99,根据https://ports.vmware.com/home/vSphere,vSphere Web Client使用TCP 443和902来做Client connections。所以我们转发这两个端口就可以了。

需要转发的目标端口

国内运营商在大部分地区都封禁了个人宽带的443,80等端口。我们就要用其它端口来转发443。我在我的路由器里做出如下端口转发规则:

端口转发规则

有些路由器会对端口转发规则自动设置入站的防火墙规则,这种情况下设置了如上端口转发规则以后就可以通过https://home.abc.com:9443在外网访问ESXi网页控制台了。

有些路由器(比如我使用的UBNT ER-X路由器),端口转发进来的流量还要加防火墙入站规则,于是我加了如下防火墙规则:

防火墙规则

假如想限制特定的外网IP段来访问此ESXi,那么可以在防火墙规则中设置Source IP,我这里留空(允许所有外网IP访问)。

现在通过一台外网的机器(连接手机运营商4G网络)来访问https://home.abc.com:9443。

没有为该域名申请证书

因为我没有为该域名申请证书,所以访问时提示不安全,我们点“继续前往”。

访问ESXi网页

使用管理员账号密码登录并切换到虚拟机管理。

虚拟机管理页面

点击黑色预览窗口,使用浏览器控制台访问该虚拟机。

使用浏览器控制台访问虚拟机

一切使用正常。如遇到其它功能使用有问题,建议查阅上面提到的端口列表网页,检查是否有其他端口需要做转发。

最后,从安全实践来考量,把ESXi控制台直接暴露在公网访问并不是一个推荐的做法,建议在路由器上启用L2TP等VPN服务,在外网时,机器先通过L2TP VPN连入内网,然后通过https://192.168.1.99的局域网地址访问ESXi。

《远程访问ESXi网页控制台》有2个想法

    1. 一般建议部署在对外的路由器(网关)设备上。一般都是需要公网IP的。 如果是内网的一个虚拟机,可以用zerotier这个来实现。(zerotier不需要公网IP)

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注