双网卡的主机桥接网络模型

虚拟服务器都应显示为专用LAN上独立的设备和使用主机服务器的IP地址是从公共Internet访问.

我用这个网络模型对我的大多数服务器. 它有效地使用IP地址, 公共接口上固定虚拟化服务器 (ETH1) 并允许直接访问通过专用接口 (为eth0).

主机接口

主机至少有两个网络接口. 我的约定使用的eth0为到本地网络和eth1的受信任的连接用于连接到公共互联网.

主机套餐

Proxmox的VE 用于管理OpenVZ的和KVM容器和虚拟机. 它提供了一个有用的接口到主机服务器. 相同的接口可以用来访问多个主机时配置Proxmox的集群.

高级策略防火墙 (APF) 提供了一个方便的方式来配置和维护的iptables的防火墙. APF被配置成提供网络地址转换 (NAT) 从公网IP的容器, 出口过滤和伪装. 伪装是用于容器的eth1的IP地址更改为主机的IP地址.

阿帕奇作为一个反向代理来路由端口 80 和 443 请求到适当的容器.

公共接口配置

一位客人桥vmbr1创建连接容器. 这座桥是访问的主机服务器上只. APF和NGINX通过这个客人桥配置为路由流量公众eth1接口的容器.

网络接口

广域网接口的网络接口文件中定义. 下面是从一个摘录 /等/ network / interfaces中 文件为Debian系统:

# WAN Public Interface

1	# WAN Public Interface

 # See Also: APF Configurationauto eth1
 iface eth1 inet static

1 2	# See Also: APF Configurationauto eth1 iface eth1 inet static

 address  12.23.45.67

1	address 12.23.45.67

 netmask  255.255.255.0

1	netmask 255.255.255.0

 broadcast  12.23.45.255

1	broadcast 12.23.45.255

 network  12.23.45.0

1	network 12.23.45.0

 gateway 12.23.45.1# GUEST Private Network

1	gateway 12.23.45.1# GUEST Private Network

 # Routable to eth1 via APF Configuration

1	# Routable to eth1 via APF Configuration

auto vmbr1
 iface vmbr1 inet static
 address  192.168.80.1
 netmask  255.255.255.0
 bridge_ports none
 bridge_stp off
 bridge_fd 0

auto vmbr1

iface vmbr1 inet static

address 192.168.80.1

netmask 255.255.255.0

bridge_ports none

bridge_stp off

bridge_fd 0

APF Preroute规则 (NAT)

APF用于路由特定端口从公共接口的容器. 下面的preroute.rules例子显示了ssh访问是如何路由到容器. 目的地址是vmbr1.

# apps02 - ssh访问: XXXX - > YYY
$IPT-T的NAT-A PREROUTING-D 12.23.45.67 -磷的TCP-I eth1的 - Dports XXX-J DNAT - 端到目的端192.168.80.XXX:YYY

APF后布线规则 (假面舞会)

下面的postroute.rules示例显示了如何APF是用来对iptables的配置化妆舞会. 从vmbr1网络中的源IP地址更改为主机的公网IP地址, 这是 12.23.45.67 在这个例子中.

# 访客网络出站路由
$IPT-T的NAT-A POSTROUTING-S 192.168.80.0/24 -ØETH1-J SNAT - 源极 12.23.45.67

nginx的反向代理端口 80 和 443

虚拟主机nginx的配置文件定义了Web请求路由. 下面是摘录出一个虚拟主机的位置指令.

server {

server {

  server_name   jaroker.com;
  listen        443;

1 2	server_name jaroker.com; listen 443;

  location / {

1	location / {

    # Redefine request headers that are transferred to proxied server
    proxy_set_header        Host            $host;
    proxy_set_header        X-Real-IP       $remote_addr;
    proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;

# Redefine request headers that are transferred to proxied server

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    proxy_pass http://192.168.80.YY;
    proxy_redirect off;
    proxy_read_timeout 90;
    }
 }

proxy_pass http://192.168.80.YY;

proxy_redirect off;

proxy_read_timeout 90;

}

私人接口配置

私有LAN是一个值得信赖的网络. 我们不希望防火墙规则与交通干扰局域网上通过受信任的eth0接口. 流量从使用基于策略路由中配置网络接口文件容器路由. 下面的例子是针对Debian.

IP路由表

路由表名是为了方便在是/ etc/iproute2/rt_tables文件创建. 在下面的例子中, 这个表被称为 T0 为 "表为eth0".

#vmbr0路由表
501 T0

基于策略路由的配置在网络接口文件. 对于基于Debian的系统, 此路由是在所创建的 /等/ network / interfaces中 文件.

# 可信接口
# 局域网可见客人
# 通过APF不管理 -- 路由的配置在此配置Fileiface eth0的INET手册
汽车vmbr0
iface的vmbr0 INET静
地址192.168.10.YY
网络掩码 255.255.255.0
播放 192.168.10.255
bridge_ports为eth0
bridge_stp关闭
bridge_fd 0
后可达IP路由表齐平T0
通过邮寄了IP路由添加默认 192.168.10.1 开发vmbr0表T0
后可达IP规则从192.168.10.YY表T0优先增加 501

2月6日, 2013 发布者乔恩Jaroker 提起: 网络模型

成为第一个发表评论. 发表评论

双网卡的主机桥接网络模型

主机接口

主机套餐

公共接口配置

网络接口

APF Preroute规则 (NAT)

APF后布线规则 (假面舞会)

nginx的反向代理端口 80 和 443

私人接口配置

IP路由表

网络模型

双网卡的主机桥接网络模型

双接口虚拟服务器基于策略的路由

聚类

Proxmox VE集群是非标准和root登录SSH端口被禁用

虚拟化的书目

Linux的书目