como projetar rede para máquinas virtuais com apenas um nic

Navegue suas respostas
1

durante a semana passada, ou seja, eu me recuperei do choque de não ter ideia de como meu funciona , obtendo uma nova caixa e tentando fazer um design sensato a partir do zero.

nossas restrições de projeto são as seguintes:

  • libvirt + kvm (porque somos pobres)
  • ubuntu (12.04 em hosts, mas estamos dispostos a tentar 14.04 se o openvswitch facilitar as coisas)
  • uma interface de rede externa (não podemos alterar isso)
  • um ipv4, um / 64 ipv6 e endereços ipv4 adicionais (públicos) limitados, com um… uh… configuração interessante

essas restrições nos levam às seguintes considerações:

  • endereços IP públicos devem ser usados esparsamente, nós os usamos principalmente para proxies com armazenamento em cache voltados para o cliente
  • todas as máquinas virtuais em todos os servidores devem poder se comunicar (proxy para servidor de aplicativos. servidor de aplicativos para banco de dados. todos os servidores para mgmt infra. & c…)
  • como já temos / 64 endereços IPv6, por que não usá-los?!

isso, no entanto, nos leva a vários problemas, porque o suporte ao ipv6 ainda não é perfeito em todos os lugares:

  • inicialização pós-pxe (a partir de um servidor dhcp IPv4 privado temporário), ainda precisamos acessar vários recursos do ipv4 durante o provisionamento de vm
  • nesta fase (em busybox) não podemos configurar um túnel 4over6, porque as ferramentas não suportam
  • mas, mesmo depois, talvez ainda tenhamos que acessar alguns recursos somente da v4 (repositórios apt, github, & c…)
  • um túnel 4over6 parece, na melhor das hipóteses, hackear.

mas espere? o que há de errado com a configuração que você tem ?!

atualmente temos uma bridge, diretamente exposta a libvirt para os endereços IPv4 públicos. e temos uma bridge virtual com nat que serve para a instalação dessas VMs ocultas E fornece roteamento para nossos endereços IPv6.

o problema com esta configuração é que ela é extremamente flakey: agora eu tenho uma caixa que não responde a nada além de ping, mas quem é vms ainda estão acessíveis (ipv4 e v6) e uma caixa que é perfeitamente interconectada , mas quem é VMs não pode sair por ipv6.

talvez seja porque eu estou achando a documentação do hetzner impenetrável, ou porque eu simplesmente faço não entendo os problemas de design mais profundos em suas mãos, ou porque não conheço rede.

Estou procurando um design que seja ... menos instável. mesmo que isso signifique que eu tenha que (re) aprender a rede.

    
por Igor Galić 16.09.2014 / 17:07

0 respostas

Tags

Existe alguma resonação (por exemplo, relacionada à segurança) para não dar direitos de controle total ao principal da webapplication? Como alterar a senha do webgui no pfsense de um console?