En un servidor raíz decidido con 1+X direcciones IP públicas en un entorno alojado, ejecutando Debian Lenny con Xen 3.2, quiero instalar varios domU. La ruta de red en puente no es una opción debido a los requisitos de la empresa de alojamiento. Recomiendan la configuración enrutada, pero hasta donde tengo entendido, esto requiere gastar dos IP públicas en dom0, algo que no puedo permitirme.
En mi configuración, X domUs tendrá una dirección IP pública y debería ser accesible desde la red. Otras domU deben estar en subredes privadas (por ejemplo, 10.0../ 192.168..) y no accesible desde el exterior. Los domU de las mismas subredes privadas deberían poder comunicarse entre sí, pero no los domU de otras subredes privadas. Una ventaja sería si todo el tráfico (incluidos los domU con direcciones IP públicas) se enrutara a través del dom0, que podría actuar como firewall (¿iptables?).
¿Hay alguien que tenga una configuración similar a la mía y esté dispuesto a compartir algunos archivos de configuración y consejos?
Respuesta1
Deberías configurar dos puentes en dom0. Puede utilizar las entradas estándar /etc/network/interfacespara esto. Supongamos que su tarjeta real es eth0 (y hay un servidor DHCP detrás) y la ha bridge-utilsinstalado. El archivo podría verse así:
auto br0
iface br0 inet dhcp
bridge_ports eth0
bridge_maxwait 0
auto br1
iface br1 inet static
bridge_ports none
bridge_maxwait 0
address 192.168.0.1
netmask 255.255.255.0
Se configura /etc/xen/xend-config.sxpcon network-brigde y vif-bridge. En cada archivo de configuración domU, selecciona si desea que tenga acceso externo directo (a través de br0) o si debe obtener acceso solo a través de br1. Para esto puedes usar líneas vif como estas:
vif = ['bridge=br0']
vif = ['bridge=br1']
Por supuesto, todavía tienes que configurar NAT/enmascaramiento sobre br1 y la configuración de red de domU debe coincidir (es decir, aquellos en br0 deben usar DHCP y aquellos en br1 deben tener una IP estática en mi ejemplo anterior).
Respuesta2
He configurado exactamente lo mismo. Lo que hicimos fue NAT. Definitivamente esto es lo que estás buscando. Debe tener un script en dom0 NAT que conecte el tráfico de las IP públicas a las IP privadas apropiadas. Obviamente puedes aplicar reglas de firewall en el proceso.
Para el NATing de las IP públicas una sola línea es suficiente:
iptables -t nat -A PREROUTING -i eth0 -d PUBLICIP -j DNAT --to-destination INTERNALIP
Repita este proceso para cada IP pública y agregue reglas de firewall si lo desea.
Enmascarando las máquinas virtuales:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Respuesta3
La ruta de red en puente no es una opción debido a los requisitos de la empresa de hosting.
Sólo me pregunto, no tengo idea si esto funcionará, pero ¿has investigado la posibilidad de usar unarp proxy¿acercarse?