Modèle réseau ponté pour l'hôte NIC double

Les serveurs virtuels devraient apparaissent comme des périphériques indépendants sur le réseau local privé et accessibles depuis l'Internet public en utilisant l'adresse IP du serveur hôte.

Dual NIC Network Model

J'utilise ce modèle de réseau sur la plupart de mes serveurs. Il utilise des adresses IP de manière efficace, sécurise les serveurs virtualisés sur l'interface publique (eth1) et permet un accès direct sur l'interface privée (eth0).

Interfaces d'accueil

L'hôte a au moins deux interfaces réseau. Mon convention utilise eth0 pour la connexion sécurisée au réseau local et eth1 pour la connexion à l'Internet public.

Accueil Forfaits

Proxmox VE est utilisé pour gérer les OpenVZ et KVM conteneurs et machines virtuelles. Il fournit une interface utile pour le serveur hôte. La même interface peut être utilisée pour accéder à plusieurs hôtes lorsque le groupement Proxmox est configuré.

Politique pare-feu avancé (APF) offre un moyen pratique pour configurer et maintenir iptables comme un pare-feu. CSA est configuré pour fournir la traduction d'adresses de réseau (NAT) de l'adresse IP publique pour les conteneurs, filtrage de sortie et le masquage. Le masquage est utilisé pour changer l'adresse IP de eth1 du conteneur à l'adresse IP de l'hôte.

Apache est utilisé comme un proxy inverse au port d'itinéraire 80 et 443 demandes vers le récipient approprié.

Configuration de l'interface publique

Un vmbr1 de pont d'hôtes est créé pour relier les conteneurs. Ce pont est accessible sur le serveur hôte ne. CSA et Nginx sont configurés pour acheminer le trafic de l'interface publique Eth1 aux conteneurs via ce pont d'hôtes.

Interface réseau

L'interface WAN est définie dans le fichier d'interface de réseau. Voici un extrait de la /etc / network / interfaces déposer pour les systèmes Debian:









Règles preroute CSA (NAT)

CSA est utilisé à des ports spécifiques de route de l'interface publique pour les conteneurs. L'exemple de preroute.rules ci-dessous montre l'accès ssh est acheminé vers le conteneur. L'adresse de destination est sur vmbr1.

# apps02 - accès ssh: XXXX -> YYY
$IPT-t nat-A PREROUTING-d 12.23.45.67 -p tcp-i eth1 - dports XXX-j DNAT - to-dest 192.168.80.XXX:YYY
Règles Postroute CSA (Mascarade)

L'exemple de postroute.rules ci-dessous montre comment APF est utilisé pour configurer mascarade sur iptables. Les adresses IP source du réseau de vmbr1 sont modifiés à l'adresse IP publique de l'hôte, qui est 12.23.45.67 Dans cet exemple,.

# Réseau Guest routage sortant
$IPT-t nat-A POSTROUTING-s 192.168.80.0/24 -o eth1-j SNAT - to-source de 12.23.45.67
Nginx Reverse Proxy Port 80 et 443

Le fichier de configuration Nginx pour l'hôte virtuel définit la demande web routage. Voici un extrait montrant la directive de l'endroit pour un hôte virtuel.





Configuration de l'interface privée

Le réseau local est un réseau privé sécurisé. Nous ne voulons pas de règles de pare-feu pour interférer avec le trafic sur le réseau local sur l'interface eth0 de confiance. Le trafic est acheminé à partir des récipients à l'aide de politiques fondées sur le routage qui est configuré dans le fichier d'interface réseau. L'exemple ci-dessous est spécifique à Debian.

Table de routage IP

Un nom de table de routage est créé pour plus de commodité dans le fichier le fichier / etc/iproute2/rt_tables. Dans l'exemple ci-dessous, ce tableau est appelé t0 pour "table pour Eth0".

#vmbr0 table de routage
501 t0

Politique fondée routage est configuré dans le fichier d'interface réseau. Pour les systèmes basés sur Debian, ce routage est créé dans le /etc / network / interfaces dossier.

# Interface de confiance
# Vous visibles sur le réseau local
# Non gérée par l'APF -- Route configuré dans ce manuel eth0 inet Config Fileiface
auto vmbr0
iface vmbr0 inet static
adresse 192.168.10.YY
masque 255.255.255.0
diffuser 192.168.10.255
bridge_ports eth0
bridge_stp off
bridge_fd 0
post-up ip route flush tableau t0
post-up ip route add default via 192.168.10.1 Table dev vmbr0 t0
post-up ip rule add de 192.168.10.YY priorité table t0 501
6 février, 2013 Publié par Jon Jaroker Classé dans: modèle de réseau

Soyez le premier à laisser un commentaire. Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *