Виртуальные машины KVM выпустить в инет

1

1

С виртуалками только-только знакомлюсь и ничего в них не понимаю, поэтому нужна помощь гуру.

Задача такова. Есть полноценный сервер в ДЦ, на нём - последний Дебиан. На нём же создаю вирт машины для запуска изолированных процессов. На сервак даётся только один внешний IP. Основная задача сервака - сайты, которых там много и трогать их нельзя. Нужно из вирт машин пробросить некоторые порты наружу. Например, 90 - для апача(я там его повесил, для веб-интерфейса) и еще какой-нибудь типа 50505 для ssh. Больше, вроде, ничего не надо.

Как это грамотно реализовать, не навредив хост-машине?

brctl show
bridge name     bridge id               STP enabled     interfaces
virbr0          8000.fe54002e5bba       yes             vnet0

ifconfig
eth0      Link encap:Ethernet  HWaddr 54:04:a6:b2:11:34
          inet addr:х  Bcast:x  Mask:255.255.255.224
          inet6 addr: x Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:48319947 errors:0 dropped:0 overruns:0 frame:0
          TX packets:68716182 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:7104931972 (6.6 GiB)  TX bytes:84074648302 (78.3 GiB)
          Interrupt:30 Base address:0xe000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:11089056 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11089056 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:17462808488 (16.2 GiB)  TX bytes:17462808488 (16.2 GiB)

virbr0    Link encap:Ethernet  HWaddr fe:54:00:2e:5b:ba
          inet addr:192.168.122.1  Bcast:192.168.122.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:12613 errors:0 dropped:0 overruns:0 frame:0
          TX packets:112807 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:748396 (730.8 KiB)  TX bytes:170203617 (162.3 MiB)

vnet0     Link encap:Ethernet  HWaddr fe:54:00:2e:5b:ba
          inet6 addr: fe80::fc54:ff:fe2e:5bba/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2955 errors:0 dropped:0 overruns:0 frame:0
          TX packets:47477 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:241407 (235.7 KiB)  TX bytes:35116987 (33.4 MiB)

Вирт машины создавал так:

virt-install --connect qemu:///system -n airvm -r 1024 --arch=i686 --vcpus=1 --os-type=linux --os-variant=debiansqueeze -c /home/virt/debian-6.0.6-i386-netinst.iso -f /home/virt/airvm.img --hvm --accelerate --vnc --network network=default,model=virtio --extra-args='console=tty0 console=ttyS0,115200n8'

Ссылка

←	dd-wrt + openvpn. отсутствие виртуального интерфейса.

Как сравнить директории на разных хостах

→

С виртуалками только-только знакомлюсь и ничего в них не понимаю, поэтому нужна помощь гуру.

Не лезь на продакшен сервер, вот тебе совет.

~~sdio~~ ★★★★★
(30.10.12 13:16:29 MSK)

Ответ на: комментарий от sdio 30.10.12 13:16:29 MSK

Уже залез :) На самом деле, я сервера-то сделал. Нужно только сеть настроить

MAzZY
(30.10.12 13:23:10 MSK) автор топика

Ответ на: комментарий от MAzZY 30.10.12 13:23:10 MSK

Я думаю как-то так

Создаешь виртуальную локальную сеть (Network XML format) между гостями и хостом;
С хоста на котором внешний IP пробрасываешь порт.

petav ★★★★★
(30.10.12 13:50:48 MSK)
Последнее исправление: petav 30.10.12 13:51:20 MSK (всего исправлений: 2)

Ответ на: Я думаю как-то так от petav 30.10.12 13:50:48 MSK

Ну вот у меня стоит http://libvirt.org/formatnetwork.html#examplesNAT NAT based network, который там по умолчанию.

Как второй пункт сделать - проброс портов?

MAzZY
(30.10.12 13:59:06 MSK) автор топика

Ответ на: комментарий от MAzZY 30.10.12 13:59:06 MSK

Если машины друг-друга видят в сети, то остается Проброс и перенаправление портов средствами iptables

petav ★★★★★
(30.10.12 14:24:47 MSK)

Ответ на: комментарий от petav 30.10.12 14:24:47 MSK

Если машины друг-друга видят в сети

Вот в этом не уверен

MAzZY
(30.10.12 15:04:04 MSK) автор топика

Ответ на: комментарий от MAzZY 30.10.12 15:04:04 MSK

Банальный ping друг-дружки

ping x.x.x.x

petav ★★★★★
(30.10.12 15:07:25 MSK)

Ответ на: комментарий от petav 30.10.12 15:07:25 MSK

Туда-сюда пингуется. С гостевой машины даже инет пингуется (гугл, например). Буду думать

MAzZY
(30.10.12 15:17:21 MSK) автор топика

Ответ на: комментарий от MAzZY 30.10.12 15:17:21 MSK

тогда только правило iptables составить на хосте и порт будет проброшен.

petav ★★★★★
(30.10.12 15:22:37 MSK)
Последнее исправление: petav 30.10.12 15:22:58 MSK (всего исправлений: 1)

Ответ на: комментарий от petav 30.10.12 15:22:37 MSK

Мне только не очень понятно, как это будет выглядеть в моих условиях.

Например, что у меня выступает как eth1 из примера по ссылке? Адрес вирт машины - 192.168.122.204

MAzZY
(30.10.12 15:37:42 MSK) автор топика

Ответ на: комментарий от MAzZY 30.10.12 15:37:42 MSK

Т.е. как в моём случае будет выглядеть вот эта запись?

iptables -I FORWARD 1 -i eth0 -o eth1 -d 192.168.0.22 -p tcp -m tcp --dport 80 -j ACCEPT

MAzZY
(30.10.12 15:38:30 MSK) автор топика

Ответ на: комментарий от MAzZY 30.10.12 15:38:30 MSK

Получается что машина виртуальная сидит на virbr0 интерфейсе, поэтому ~~eth1~~ virbr0

petav ★★★★★
(30.10.12 20:08:59 MSK)

Ответ на: комментарий от petav 30.10.12 20:08:59 MSK

Тогда мне вместо $INT_IP указывать адрес virbr0 или вирт машины?

MAzZY
(30.10.12 20:14:54 MSK) автор топика

Ссылка

Ответ на: комментарий от petav 30.10.12 20:08:59 MSK

В общем, всё получилось. Спасибо большое

MAzZY
(30.10.12 20:35:19 MSK) автор топика

А форвард кто включит в ядре? :)

tazhate ★★★★★
(30.10.12 20:37:43 MSK)

Ответ на: комментарий от MAzZY 30.10.12 20:35:19 MSK

Ок

petav ★★★★★
(30.10.12 20:57:28 MSK)

Ссылка

Ответ на: комментарий от tazhate 30.10.12 20:37:43 MSK

В этом месте подробнее, пожалуйста.

MAzZY
(02.11.12 17:32:49 MSK) автор топика

Ответ на: комментарий от MAzZY 02.11.12 17:32:49 MSK

sysctl.conf => net.ipv4.ip_forward = 1

tazhate ★★★★★
(02.11.12 17:35:11 MSK)

Что-то у меня снова проблемы. Решил переделать вирт машину. Снёс её напрочь, создал заново, установил всё, настроил, порты так же пробросил, но они почему-то не работают. В iptables -L видно, что всё на месте, но связи нет. Что я мог упустить? Что нужно проверить?

MAzZY
(02.11.12 17:35:50 MSK) автор топика

Ссылка

Ответ на: комментарий от tazhate 02.11.12 17:35:11 MSK

Это есть

MAzZY
(02.11.12 17:38:32 MSK) автор топика

Ссылка

Ответ на: комментарий от tazhate 02.11.12 17:35:11 MSK

У меня там вот такое.

net.ipv4.ip_forward=1
net.ipv4.conf.all.rp_filter=1
net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.conf.all.forwarding=1
net.ipv4.conf.all.proxy_arp=1

Может что-то и лишнее даже

MAzZY
(02.11.12 17:40:19 MSK) автор топика

Ответ на: комментарий от MAzZY 02.11.12 17:40:19 MSK

Видимо, стёр какие-то правила iptables. Сейчас нашел файл бэкапа, откатил, прокинул порты - работает.

MAzZY
(02.11.12 18:07:18 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	dd-wrt + openvpn. отсутствие виртуального интерфейса.

Admin

Как сравнить директории на разных хостах

→

Я думаю как-то так

Похожие темы