我想知道如何保护"保护"来自同一服务器上其他网络中其他来宾的KVM来宾/网络。
今天我有一台专用服务器运行KVM / qemu / libvirt,每个客户都有一个网络子网。例如: - Customer_A - 192.168.10.0/29 - Customer_B - 192.168.11.0/29
但是Customer_A可以将机器ping到Customer_B的网络中,反之亦然。
为了尝试修复它,我已经在专用服务器中创建了一个防火墙并阻止从一个网络转发到另一个网络,但我的问题是,我可以使用例如vlan来避免一个网络与其他网络通信吗?孤立网络和客户的最佳方式是什么?
谢谢。
答案 0 :(得分:1)
Libvirt有一个'nwfilter' object,可以让您定义常规防火墙规则,并将它们与为访客提供的各个NIC相关联。当启动/停止访客时,或者当热插拔/拔出访客时,Libvirt会根据需要将这些调用为ebtables / iptables。因此,使用它可以让您更直接地管理libvirt上下文中的防火墙规则。这可能是控制客人之间访问的最不具侵入性的方式,因为它没有强制要求使用像vlans这样的东西来分隔客人。 Libvirt提供"清洁交通" nwfilter定义示例,可以做MAC& IP地址欺骗保护。
要记住的一件事是,有些客户可能希望他们的VM可以访问整个世界,无论连接的人是来自互联网上其他地方的用户,还是同一主机中另一个VM上的用户。例如,如果客户A正在托管一个面向公众的网站,那么客户B应该被阻止连接它的原因就不足为奇了。在这方面,使用防火墙规则可能比使用vlanns完全分离流量更具灵活性。