我想知道是如何「保護」 KVM客戶的最佳方式/與其他客人在其他網絡中的網絡在同一臺服務器。什麼是隔離網絡和客戶的最佳方式? (KVM/QEMU/libvirt的)
今天,我有一個專用的服務器ruuning KVM/QEMU/libvirt的,併爲每一位客戶我有一個網絡的子網。例如: - Customer_A - 192.168.10.0/29 - Customer_B - 192.168.11.0/29
但Customer_A可以做Ping通機進入Customer_B的網絡,反之亦然。
要嘗試修復它,我創建了一個防火牆到專用服務器和塊有從一個網絡到另一個前鋒,但我的問題是,我可以使用例如VLAN,以避免一個網絡進行通信與其他?什麼是隔離網絡和客戶的最佳方式?
謝謝。
Libvirt庫有'nwfilter' object它可以讓你定義的一般防火牆規則,並將其與給客人提供個人網卡關聯。 libvirt的輪流到這些調用時啓動/停止的客人,或者熱插拔時/拔出客人需要ebtables/iptables的。因此,使用它可以讓您更直接地在libvirt的上下文中管理防火牆規則。這可能是控制客人之間的訪問的侵入性最小的方式,因爲它不強加要求,使用這樣的東西的VLAN分離的客人。 libvirt的提供了一個「乾淨交通」 nwfilter定義的例子,可以做MAC & IP地址欺騙的保護。
有一點需要記住的是,有些客戶可能希望他們的虛擬機能夠訪問整個世界,無論連接的人是來自互聯網上其他地方的用戶還是同一主機中另一臺虛擬機上的用戶。例如,如果客戶A正在託管一個面向公衆的網站,那麼爲什麼客戶B應該被阻止連接到它,這幾乎沒有什麼原因。使用防火牆規則可能會給您在這方面更多的靈活性,而不是將流量與vlans完全分開。