調べてみたところ、Debian Xen ホストとその上の仮想マシン間でファイルを共有する最適な方法は NFS を使用することのようです。
指定された VM だけがアクセスできるように NFS をセキュリティ保護するにはどうすればよいですか? IP アドレスを使用すると機能しますが、最も安全な方法とは思えません。インターフェイスで NFS をブロックし、インターフェイスを使用してホストと仮想マシン間で NFS を許可することiptablesはできますか? これが私の構成です:bond0xenbr0/etc/network/interfaces
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# network interfaces
auto eth0
iface eth0 inet manual
bondmaster bond0
auto eth1
iface eth1 inet manual
bondmaster bond0
#lacp bonded interface
auto bond0
iface bond0 inet manual
bond-mode 4
bond-miimon 100
bond-lacp-rate 1
bond-slaves eth0 eth1
#xen bridge
auto xenbr0
iface xenbr0 inet static
bridge_ports bond0
address 10.0.0.12
gateway 10.0.0.1
netmask 255.255.255.0
答え1
まず sshfs を使用します。
Linux 上の NFSv3 までは安全ではありません。プライベート NFS ネットワークを構築するか、安全な NFSv4 を使用することができます。
答え2
何をしたいかを決めます:
- アプリケーションに依存しない、より「一般的な」ネットワークセキュリティは、NFS サーバー上の iptables によって実行されます。
- NFSサーバ上のnfsdによって実行されるアプリケーション固有のセキュリティ
- または両方。
NFS では、次のようにして特定のクライアントに対してディレクトリを読み取り専用で共有します。
echo "/mynfs clt.xmpl.com(sync)" >> /etc/exports.d/my-ro.exports
exportfs -r