KVM 게스트/네트워크를 다른 서버의 다른 네트워크 게스트와 동일한 서버에서 "보호"하는 가장 좋은 방법은 무엇입니까?네트워크와 고객을 격리하는 가장 좋은 방법은 무엇입니까? (kvm/qemu/libvirt)
오늘 나는 하나의 전용 서버에서 KVM/qemu/libvirt를 폐기하고 각 고객에게 하나의 네트워크 서브넷을 가지고 있습니다. 예를 들어 : - Customer_A - 192.168.10.0/29 - Customer_B - 192.168.11.0/29
그러나 Customer_A는 Customer_B의 네트워크와 그 반대에 기계를 ping 할 수 있습니다.
전용 서버에 방화벽을 생성하여 한 네트워크에서 다른 네트워크로 전달하지만 내 질문은 다른 네트워크와의 통신을 피하기 위해 예를 들어 VLAN을 사용할 수 있습니까? 네트워크와 고객을 격리하는 가장 좋은 방법은 무엇입니까?
감사합니다.
Libvirt는 'nwfilter' object으로 일반 방화벽 규칙을 정의하고 게스트에 제공된 개별 NIC와 연결할 수 있습니다. Libvirt는 게스트를 시작/중지 할 때 또는 게스트를 핫 플러 그/플러그를 뽑을 때 필요에 따라 ebtable/iptables 호출로 전환합니다. 따라서이를 사용하면 libvirt의 컨텍스트 내에서 방화벽 규칙을보다 직접 관리 할 수 있습니다. 이것은 아마도 게스트 간의 액세스를 제어하기위한 가장 침해적인 방법 일 수 있습니다. 게스트를 분리하는 데 VLAN과 같은 요소를 사용할 필요가 없기 때문입니다. Libvirt는 MAC & IP 주소 스푸핑 방지를 수행 할 수있는 "깨끗한 트래픽"nwfilter 정의 예제를 제공합니다.
염두에 두어야 할 점 중 하나는 인터넷에 연결된 다른 사용자의 사용자인지, 같은 호스트의 다른 VM 사용자인지에 관계없이 일부 고객이 전 세계에 액세스 할 수있게하려는 것입니다. . 예를 들어 고객 A가 공개 된 웹 사이트를 호스팅하는 경우 고객 B가 연결을 차단해야하는 이유는 거의 없습니다. 방화벽 규칙을 사용하면 vlans와의 트래픽을 완전히 분리하는 것보다 더 많은 유연성을 얻을 수 있습니다.