KVMゲスト/ネットワークを、同じサーバの他のネットワークのゲストから「保護する」方法を知りたいと思います。ネットワークと顧客を隔離する最良の方法は何ですか? (kvm/qemu/libvirt)
今日私はKVM/qemu/libvirtを破棄している1台の専用サーバを持っており、各顧客には1つのネットワークサブネットがあります。たとえば、次のように - Customer_A - 192.168.10.0/29 - Customer_B - 192.168.11.0/29
しかしCustomer_AはCustomer_Bのネットワークおよびその逆へのpingマシンを行うことができます。
私は専用サーバーにファイアウォールを作成し、あるネットワークから他のネットワークへの転送をブロックしましたが、私の質問は、たとえば、あるネットワークが他のネットワークと通信するのを防ぐために使用できますか?ネットワークと顧客を隔離する最良の方法は何ですか?
ありがとうございます。
Libvirtには'nwfilter' objectがあり、一般的なファイアウォールルールを定義し、ゲストに与えられた個々のNICに関連付けることができます。 Libvirtは、ゲストの起動/停止時、またはゲストのホットプラグ/アンロード時にこれらを必要に応じてebtables/iptablesの呼び出しに変換します。そのため、libvirtのコンテキスト内でファイアウォールルールをより直接的に管理できるようになります。これはおそらくゲスト間のアクセスを制御するための最も侵略的でない方法です。ゲストを分離するためにVLANのようなものを使用する必要はありません。 Libvirtは、IPアドレスのなりすまし防止のためにMAC &を行うことができる "クリーントラフィック" nwfilter定義の例を提供します。
念頭に置くべきことは、接続している人がインターネット上のどこかのユーザーか、同じホスト内の別のVMのユーザーかどうかにかかわらず、 。例えば、顧客Aがパブリックに直面しているWebサイトをホスティングしている場合、顧客Bが接続をブロックされる理由はほとんどありません。ファイアウォールルールを使用すると、vlansを使用してトラフィックを完全に分離するよりも、柔軟性が向上します。