Modèle réseau ponté pour l'hôte NIC double
Les serveurs virtuels devraient apparaissent comme des périphériques indépendants sur le réseau local privé et accessibles depuis l'Internet public en utilisant l'adresse IP du serveur hôte.
J'utilise ce modèle de réseau sur la plupart de mes serveurs. Il utilise des adresses IP de manière efficace, sécurise les serveurs virtualisés sur l'interface publique (eth1) et permet un accès direct sur l'interface privée (eth0).
Interfaces d'accueil
L'hôte a au moins deux interfaces réseau. Mon convention utilise eth0 pour la connexion sécurisée au réseau local et eth1 pour la connexion à l'Internet public.
Accueil Forfaits
Proxmox VE est utilisé pour gérer les OpenVZ et KVM conteneurs et machines virtuelles. Il fournit une interface utile pour le serveur hôte. La même interface peut être utilisée pour accéder à plusieurs hôtes lorsque le groupement Proxmox est configuré.
Politique pare-feu avancé (APF) offre un moyen pratique pour configurer et maintenir iptables comme un pare-feu. CSA est configuré pour fournir la traduction d'adresses de réseau (NAT) de l'adresse IP publique pour les conteneurs, filtrage de sortie et le masquage. Le masquage est utilisé pour changer l'adresse IP de eth1 du conteneur à l'adresse IP de l'hôte.
Apache est utilisé comme un proxy inverse au port d'itinéraire 80 et 443 demandes vers le récipient approprié.
Configuration de l'interface publique
Un vmbr1 de pont d'hôtes est créé pour relier les conteneurs. Ce pont est accessible sur le serveur hôte ne. CSA et Nginx sont configurés pour acheminer le trafic de l'interface publique Eth1 aux conteneurs via ce pont d'hôtes.
Interface réseau
L'interface WAN est définie dans le fichier d'interface de réseau. Voici un extrait de la /etc / network / interfaces déposer pour les systèmes Debian:
|
1 |
# WAN Public Interface |
|
1 2 |
# See Also: APF Configurationauto eth1 iface eth1 inet static |
|
1 |
address 12.23.45.67 |
|
1 |
netmask 255.255.255.0 |
|
1 |
broadcast 12.23.45.255 |
|
1 |
network 12.23.45.0 |
|
1 |
gateway 12.23.45.1# GUEST Private Network |
|
1 |
# Routable to eth1 via APF Configuration |
|
1 2 3 4 5 6 7 |
auto vmbr1 iface vmbr1 inet static address 192.168.80.1 netmask 255.255.255.0 bridge_ports none bridge_stp off bridge_fd 0 |
Règles preroute CSA (NAT)
CSA est utilisé à des ports spécifiques de route de l'interface publique pour les conteneurs. L'exemple de preroute.rules ci-dessous montre l'accès ssh est acheminé vers le conteneur. L'adresse de destination est sur vmbr1.
$IPT-t nat-A PREROUTING-d 12.23.45.67 -p tcp-i eth1 - dports XXX-j DNAT - to-dest 192.168.80.XXX:YYY
Règles Postroute CSA (Mascarade)
L'exemple de postroute.rules ci-dessous montre comment APF est utilisé pour configurer mascarade sur iptables. Les adresses IP source du réseau de vmbr1 sont modifiés à l'adresse IP publique de l'hôte, qui est 12.23.45.67 Dans cet exemple,.
$IPT-t nat-A POSTROUTING-s 192.168.80.0/24 -o eth1-j SNAT - to-source de 12.23.45.67
Nginx Reverse Proxy Port 80 et 443
Le fichier de configuration Nginx pour l'hôte virtuel définit la demande web routage. Voici un extrait montrant la directive de l'endroit pour un hôte virtuel.
|
1 |
server { |
|
1 2 |
server_name jaroker.com; listen 443; |
|
1 |
location / { |
|
1 2 3 4 |
# Redefine request headers that are transferred to proxied server proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; |
|
1 2 3 4 5 |
proxy_pass http://192.168.80.YY; proxy_redirect off; proxy_read_timeout 90; } } |
Configuration de l'interface privée
Le réseau local est un réseau privé sécurisé. Nous ne voulons pas de règles de pare-feu pour interférer avec le trafic sur le réseau local sur l'interface eth0 de confiance. Le trafic est acheminé à partir des récipients à l'aide de politiques fondées sur le routage qui est configuré dans le fichier d'interface réseau. L'exemple ci-dessous est spécifique à Debian.
Table de routage IP
Un nom de table de routage est créé pour plus de commodité dans le fichier le fichier / etc/iproute2/rt_tables. Dans l'exemple ci-dessous, ce tableau est appelé t0 pour "table pour Eth0".
501 t0
Politique fondée routage est configuré dans le fichier d'interface réseau. Pour les systèmes basés sur Debian, ce routage est créé dans le /etc / network / interfaces dossier.
# Vous visibles sur le réseau local
# Non gérée par l'APF -- Route configuré dans ce manuel eth0 inet Config Fileiface
auto vmbr0
iface vmbr0 inet static
adresse 192.168.10.YY
masque 255.255.255.0
diffuser 192.168.10.255
bridge_ports eth0
bridge_stp off
bridge_fd 0
post-up ip route flush tableau t0
post-up ip route add default via 192.168.10.1 Table dev vmbr0 t0
post-up ip rule add de 192.168.10.YY priorité table t0 501
Soyez le premier à laisser un commentaire. Laisser un commentaire