Puente modelo de red de NIC Host Dual
Los servidores virtuales deben aparecer como dispositivos independientes de la LAN privada y serán accesibles desde la red pública Internet usando la dirección IP del servidor host.
Yo uso este modelo de red en la mayoría de mis servidores. Utiliza direcciones IP de manera eficiente, asegura que los servidores virtuales en la interfaz pública (eth1) y permite el acceso directo a través de la interfaz privada (eth0).
Interfaces Anfitrión
El anfitrión tiene al menos dos interfaces de red. Mi convención utiliza eth0 para la conexión de confianza con la red local y eth1 para la conexión a la Internet pública.
Paquetes de acogida
Proxmox VE se utiliza para gestionar la OpenVZ y KVM contenedores y máquinas virtuales. Proporciona una interfaz útil para el servidor host. La misma interfaz se puede utilizar para acceder a múltiples hosts cuando se configura Proxmox agrupación.
Firewall Advanced Policy (APF) ofrece una manera conveniente para configurar y mantener iptables como cortafuegos. APF está configurado para proporcionar la traducción de direcciones de red (NAT) de la IP pública de los contenedores, filtrado de salida y enmascaramiento. El enmascaramiento se utiliza para cambiar la dirección IP eth1 del contenedor a la dirección IP del host.
NGINX se utiliza como proxy inverso al puerto ruta 80 y 443 pide a los contenedores de recogida.
Configuración de la interfaz pública
Un invitado puente vmbr1 se creó para conectar los contenedores. Este puente es accesible en el servidor host sólo. APF y NGINX están configurados para enrutar el tráfico desde el Eth1 interfaz pública a los recipientes a través de este puente de huéspedes.
Interfaz de Red
La interfaz WAN se define en el archivo de interfaces de red. A continuación se muestra un extracto de la /etc / network / interfaces archivo para sistemas Debian:
|
1 |
# WAN Public Interface |
|
1 2 |
# See Also: APF Configurationauto eth1 iface eth1 inet static |
|
1 |
address 12.23.45.67 |
|
1 |
netmask 255.255.255.0 |
|
1 |
broadcast 12.23.45.255 |
|
1 |
network 12.23.45.0 |
|
1 |
gateway 12.23.45.1# GUEST Private Network |
|
1 |
# Routable to eth1 via APF Configuration |
|
1 2 3 4 5 6 7 |
auto vmbr1 iface vmbr1 inet static address 192.168.80.1 netmask 255.255.255.0 bridge_ports none bridge_stp off bridge_fd 0 |
Reglas Preroute APF (NAT)
APF se utiliza para puertos específicos de la ruta de la interfaz pública para los contenedores. El ejemplo preroute.rules abajo muestra cómo se direcciona el acceso ssh al contenedor. La dirección de destino se encuentra en vmbr1.
$IPT-t nat-A PREROUTING-d 12.23.45.67 -p tcp-i eth1 - dports XXX-j DNAT - to-dest 192.168.80.XXX:YYY
APF Postroute Reglas (Mascarada)
El ejemplo postroute.rules muestra cómo se utiliza el APF para configurar la mascarada en iptables. Las direcciones IP de origen de la red vmbr1 se cambian a la dirección IP pública del host, que es 12.23.45.67 en este ejemplo.
$IPT-t nat-A POSTROUTING-s 192.168.80.0/24 -o eth1-j SNAT - to-source 12.23.45.67
Proxy inverso NGINX para Port 80 y 443
El archivo de configuración de Nginx para la máquina virtual define la solicitud Web de enrutamiento. He aquí un extracto que muestra la directiva de ubicación para un host virtual.
|
1 |
server { |
|
1 2 |
server_name jaroker.com; listen 443; |
|
1 |
location / { |
|
1 2 3 4 |
# Redefine request headers that are transferred to proxied server proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; |
|
1 2 3 4 5 |
proxy_pass http://192.168.80.YY; proxy_redirect off; proxy_read_timeout 90; } } |
Configuración de la interfaz privada
La LAN privada es una red de confianza. No queremos que las reglas del cortafuegos para interferir con el tráfico en la LAN a través de la interfaz eth0 de confianza. El tráfico se enruta de los contenedores que utilizan enrutamiento basado en la política que se configura en el archivo de interfaz de red. El siguiente ejemplo es específico de Debian.
Tabla de rutas IP
Un nombre de tabla de rutas se ha creado para la comodidad en el archivo / etc/iproute2/rt_tables. En el ejemplo siguiente, esta tabla se llama t0 para "mesa para Eth0".
501 t0
Enrutamiento basado en la política se configura en el archivo de interfaz de red. Para los sistemas basados en Debian, Este enrutamiento se crea en el /etc / network / interfaces expediente.
# Los huéspedes visibles en LAN
# No es gestionado por APF -- Enrutamiento configurado en este manual eth0 inet Fileiface Config
auto vmbr0
vmbr0 del iface inet estática
192.168.10.YY dirección
máscara de red 255.255.255.0
transmitir 192.168.10.255
bridge_ports eth0
bridge_stp off
bridge_fd 0
puesto en marcha ip tabla ras ruta t0
ip route puesto en marcha a través de add default 192.168.10.1 dev vmbr0 mesa t0
regla ip-up después de añadir 192.168.10.YY mesa t0 prioridad 501
Sé el primero en comentar. Deja un comentario