Мостовой сетевая модель для двойной хост NIC
Виртуальные серверы должны появиться в качестве независимых устройств на частной локальной сети и быть доступен из публичного Интернет с использованием IP-адрес принимающей сервера.
Я использую эту модель сети на большинстве из моих серверов. Он использует IP адреса эффективно, обеспечивает виртуальные серверы на открытый интерфейс (eth1) и позволяет получить прямой доступ на частный интерфейс (eth0).
Хост-интерфейсах
Хозяин имеет по крайней мере два сетевых интерфейса. Мой Конвенции используется eth0 для доверенного подключения к локальной сети и eth1 для подключения к интернет-общественности.
Хост пакеты
Proxmox VE используется для управления OpenVZ и KVM контейнеры и виртуальные машины. Она предоставляет удобный интерфейс с хост-сервером. Тот же интерфейс может быть использован для доступа к нескольким хостам, когда Proxmox кластеризации настроен.
Advanced Firewall Policy (APF) предлагает удобный способ для настройки и обслуживания Iptables в качестве межсетевого экрана. APF сконфигурирована для обеспечения трансляции сетевых адресов (NAT) от общественности IP к контейнерам, выходную фильтрацию и маскировка. Маскарадинг используется для изменения eth1 IP адрес контейнера для IP-адреса хоста.
NGINX используется в качестве обратного прокси-сервера для маршрутизации порт 80 и 443 запросы в соответствующий контейнер.
Общественный интерфейс конфигурирования
Гость моста vmbr1 создан для подключения контейнеров. Этот мост является доступной на хост-сервере только. APF и делался настроены для маршрутизации трафика от общественности Eth1 интерфейс для контейнеров через этот мост гость.
Сетевой интерфейс
WAN интерфейс определен в файле сетевых интерфейсов. Ниже приводится отрывок из /и т.д. / сети / интерфейсов файл для системы Debian:
|
1 |
# WAN Public Interface |
|
1 2 |
# See Also: APF Configurationauto eth1 iface eth1 inet static |
|
1 |
address 12.23.45.67 |
|
1 |
netmask 255.255.255.0 |
|
1 |
broadcast 12.23.45.255 |
|
1 |
network 12.23.45.0 |
|
1 |
gateway 12.23.45.1# GUEST Private Network |
|
1 |
# Routable to eth1 via APF Configuration |
|
1 2 3 4 5 6 7 |
auto vmbr1 iface vmbr1 inet static address 192.168.80.1 netmask 255.255.255.0 bridge_ports none bridge_stp off bridge_fd 0 |
Правила APF Preroute (NAT)
APF используется для маршрутизации определенные порты из открытого интерфейса к контейнерам. Например preroute.rules ниже показано, как SSH доступа направляется в контейнер. Адрес места назначения vmbr1.
$IPT-т физ-PREROUTING-D 12.23.45.67 -р TCP-я eth1 - Dports XXX-J DNAT - к Dest 192.168.80.XXX:YYY
APF Postroute Правила (Маскарад)
Например postroute.rules ниже показано, как APF используется для настройки Iptables маскарад. Источник IP-адреса из vmbr1 сети заменяются на общественном IP адрес хоста, который 12.23.45.67 В этом примере.
$IPT-т физ-POSTROUTING-S 192.168.80.0/24 -о eth1-J SNAT - исток 12.23.45.67
NGINX обратного прокси для порта 80 и 443
Файла конфигурации NGINX для виртуального хоста определяет веб-маршрутизации запросов. Вот выдержка с указанием местоположения директивы для одного виртуального хоста.
|
1 |
server { |
|
1 2 |
server_name jaroker.com; listen 443; |
|
1 |
location / { |
|
1 2 3 4 |
# Redefine request headers that are transferred to proxied server proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; |
|
1 2 3 4 5 |
proxy_pass http://192.168.80.YY; proxy_redirect off; proxy_read_timeout 90; } } |
Частный интерфейс конфигурирования
Частной сети является защищенным сетевым. Мы не хотим, чтобы правила брандмауэра мешать движению транспорта по локальной сети по доверенному интерфейсу eth0. Трафик направляется из контейнеров использованием маршрутизации на основе политики, которая настраивается в файле сетевой интерфейс. В приведенном ниже примере специфична для Debian.
Таблица IP-маршрутов
Название маршрута таблица создается для удобства в файл / etc/iproute2/rt_tables. В приведенном ниже примере, эта таблица называется t0 для "стол для eth0".
501 t0
Политика маршрутизации на основе настраивается в файле сетевой интерфейс. Для систем на базе Debian, такую маршрутизацию, создается в /и т.д. / сети / интерфейсов файл.
# Гостям видны на LAN
# Не управляет НПФ -- Маршрутизация Скомпонованный таким Config Fileiface eth0 руководстве инет
Авто vmbr0
IFACE vmbr0 инет статического
Адрес 192.168.10.YY
маска 255.255.255.0
вещать 192.168.10.255
bridge_ports eth0
bridge_stp от
bridge_fd 0
после выше IP-маршрута флеш таблице t0
после выше IP добавления маршрута по умолчанию с помощью 192.168.10.1 разработчика vmbr0 t0 таблице
после выше IP-правило добавить из таблицы 192.168.10.YY t0 приоритетом 501
Оставить первый комментарий. Оставить комментарий