Мостовий Мережева модель для подвійний NIC господаря
Віртуальні сервери повинні з'явитися в якості незалежних пристроїв на приватній локальної мережі і бути загальнодоступна Інтернет з використанням IP-адреси хоста сервера,en.
Я використовую цю модель мережі на більшість моїх серверів. Він використовує IP-адреси ефективно, закріплює віртуальних серверів на загальному інтерфейсі (eth1) і дозволяє отримати прямий доступ на приватний інтерфейс (eth0).
хост-інтерфейси
Господар має принаймні два мережевих інтерфейсу. Мій конвенції використовує eth0 для надійного підключення до локальної мережі і eth1 для підключення до інтернет-громадськості.
приймаючі Пакети
Proxmox В.Є. використовується для управління OpenVZ і KVM контейнери і віртуальні машини. Вона забезпечує зручний інтерфейс для хост-сервера. Ж інтерфейс може бути використаний для доступу кількох хостів, коли Proxmox кластеризації налаштований.
Розширений політики брандмауера (APF) пропонує зручний спосіб для настройки та обслуговування IPTables як брандмауер. APF конфигурируется для надання перетворення мережевих адрес (NAT) від громадського IP до контейнерів, вихід фільтрації маскуючись. Маськарадінг використовується для зміни eth1 IP-адреса контейнера для IP-адреси хоста,en.
NGINX використовується в якості зворотного проксі-сервера до маршруту порт 80 і 443 запити на відповідний контейнер.
Конфігурація Відкритий інтерфейс
Гість міст vmbr1 створюється для підключення контейнерів. Цей міст доступний на хост-сервері тільки. APF і NGINX налаштовані для маршрутизації трафіку від відкритого інтерфейсу eth1 до контейнерів за допомогою цієї гостьової моста.
Мережевий інтерфейс
Інтерфейс WAN визначається у файлі мережевих інтерфейсів. Нижче наводиться витяг з /ETC / мережі / інтерфейси подати для систем Debian:
|
1 |
# WAN Public Interface |
|
1 2 |
# See Also: APF Configurationauto eth1 iface eth1 inet static |
|
1 |
address 12.23.45.67 |
|
1 |
netmask 255.255.255.0 |
|
1 |
broadcast 12.23.45.255 |
|
1 |
network 12.23.45.0 |
|
1 |
gateway 12.23.45.1# GUEST Private Network |
|
1 |
# Routable to eth1 via APF Configuration |
|
1 2 3 4 5 6 7 |
auto vmbr1 iface vmbr1 inet static address 192.168.80.1 netmask 255.255.255.0 bridge_ports none bridge_stp off bridge_fd 0 |
APF Правила Preroute (NAT)
APF використовується для маршрутизації певних портів від загального інтерфейсу до контейнерів. Preroute.rules нижче приклад показує, як SSH доступ направляється до контейнера. Адреса одержувача на vmbr1.
$IPT -t фіз -А PREROUTING -d 12.23.45.67 -р TCP -i eth1 --dport XXX -j DNAT --to-приймач 192.168.80.XXX:YYY
APF Правила Postroute (маскарад)
Postroute.rules нижче приклад показує, як APF використовується для настройки маскарад на IPTables. Джерелом IP-адреси з мережі vmbr1 змінюються на IP адресу публічного господаря,en, який 12.23.45.67 У цьому прикладі.
$IPT -s -t фіз -А POSTROUTING 192.168.80.0/24 -або eth1 -j SNAT --to-джерело 12.23.45.67
NGINX Зворотний проксі для порту 80 і 443
Файл конфігурації NGINX для віртуального хоста визначає маршрутизацію веб-запиту. Ось витяг показує директиву про місцезнаходження для одного віртуального хоста.
|
1 |
server { |
|
1 2 |
server_name jaroker.com; listen 443; |
|
1 |
location / { |
|
1 2 3 4 |
# Redefine request headers that are transferred to proxied server proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; |
|
1 2 3 4 5 |
proxy_pass http://192.168.80.YY; proxy_redirect off; proxy_read_timeout 90; } } |
Окремий інтерфейс розширеного налаштування
Приватної локальної мережі є довіреною мережі. Ми не хочемо, щоб правила брандмауера заважає руху по локальній мережі через довірених інтерфейсу eth0. Трафік прямує з контейнерів з використанням маршрутизації на основі політик, налаштоване в файлі мережевого інтерфейсу. У наведеному нижче прикладі специфічний для Debian.
Таблиця маршрутизації IP
Назва маршруту таблиця створюється для зручності в файлі / і т.д. / iproute2 / rt_tables. У наведеному нижче прикладі, ця таблиця називається t0 для "стіл для eth0".
501 t0
Маршрутизація на основі політики налаштований у файлі мережевого інтерфейсу. Для систем, заснованих Debian, цю маршрутизацію створюється в /ETC / мережі / інтерфейси файл.
# Гості видимі на LAN
# Неможливо НПФ -- Маршрутизація налаштована таким Config Fileiface eth0 інет керівництві
авто vmbr0
IFACE vmbr0 інет статичного
адреса 192.168.10.YY
мережева маска 255.255.255.0
трансляції 192.168.10.255
bridge_ports eth0
bridge_stp від
bridge_fd 0
після до маршрутизації IP флеш таблиці t0
після до IP маршрут додати за замовчуванням за допомогою 192.168.10.1 DEV vmbr0 таблиці t0
Правило після до IP додати з пріоритетних t0 192.168.10.YY таблиці 501
Залиште перший коментар. Залишити коментар