我想知道如何以最佳方式“保护”KVM 来宾/网络免受同一服务器上其他网络中的其他来宾的影响。
今天,我有一台运行 KVM/qemu/libvirt 的专用服务器,并且对于每个客户,我都有一个网络子网。例如: - 客户_A - 192.168.10.0/29 - 客户_B - 192.168.11.0/29
但是 Customer_A 可以 ping 一台机器到 Customer_B 的网络,反之亦然。
为了尝试修复它,我在专用服务器中创建了防火墙并阻止从一个网络到另一个网络的转发,但我的问题是,我可以使用例如 vlan 来避免一个网络与另一个网络通信吗?隔离网络和客户的最佳方法是什么?
谢谢。
【问题讨论】:
Libvirt 有一个'nwfilter' object,它允许您定义一般防火墙规则并将它们与提供给来宾的单个 NIC 相关联。 Libvirt 在启动/停止客户机或热插拔客户机时根据需要将这些转换为对 ebtables/iptables 的调用。因此,使用它可以让您更直接地在 libvirt 的上下文中管理防火墙规则。这可能是控制来宾之间访问的侵入性最小的方式,因为它不需要使用像 vlan 之类的东西来分隔来宾。 Libvirt 提供了一个“干净流量”的 nwfilter 定义示例,可以进行 MAC 和 IP 地址欺骗保护。
要记住的一点是,有些客户可能希望他们的 VM 可供全世界访问,无论连接的人是来自 Internet 上其他地方的用户,还是同一主机中另一个 VM 上的用户。例如,如果客户 A 正在托管一个面向公众的网站,则几乎没有理由阻止客户 B 连接到它。在这方面,使用防火墙规则可能比使用 vlan 完全分离流量更灵活。
【讨论】: