Hogyan csinálnátok?

 ( nap48 | 2013. március 6., szerda - 15:22 )

Szeretném otthon egy gépen belül megvalósítani a következő funkciókat:

- Tűzfal
- Védett (belső) fájlszerver
- Külső fájlszerver
- Egyéb teszt gépek.

A hardver: két ethernet kártya, négy mag proci, 8G ram, sok vinyó.

Kérdésem:

- Lehet a tűzfalat úgy megoldani, hogy az egy virt. gép, és a külső ethernetet csak ő használja?

KVM/QEMU-t használok Ubuntu alatt.

P.S.: Tudom, bíztos volt már itt a fórumon, de nem találta kielégítő válaszokat.

Előre is köszönöm
Nagy Péter

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

http://zrubi.hu/ - QUBES OS :)

Kösz, ez érdekes. Valami ilyesmit szeretnék, csak ehhez az egész vasat le kell gyalulni.

Ha egy gépem van, a következőt választanám:

Host OSen a nekem szükséges szolgáltatások, 1 ethernet kártyán a trust, egy bridge-en pedig a második ethernet +1 tap interface Belső hálózati szolgáltatásokat szigorúan ráfeszíteni erre a bridge-re. Ha KVM mellett döntesz, akkor erre meg mehet a többi proba OS meg erre.

A tűzfalat abban az esetben virtualizálnám, ha a gépet csak a virtuális környezet kialakítására használom és minden OS ezen felül fut.

Ez működik nekem most, csak féltem a host oprendszert a tűzfaltól.

Melyik milyen?

Bocs, csak közben el kellett mennem. Most a host gép a tűzfal is egyben, és azon gondolkozom, hogy kell-e, lehet-e, érdemes-e guest-be tenni. A többi funkció (pl. belső szerver) külön guestekben vanak.

Felteszel egy XenServer (citrix),ESXi (vmware),Xen (opensource),HyperV,és azon futtatod megfelelő applienceket.:)
-Fájlszervernek:Openfiler,Freebsd
-Tűzfalak:Linux,FREEBSD(iptables),Applience

Kösz, ez jó ötlet, csak eddig csak QEMU/KVM-el dolgoztam, meg akarnám spórolni a platform váltást.

Tegyél próbát a Proxmox VE-vel, az QEMU/KVM-et használ + OpenVZ-t. Van hozzá webes felület. Most jött ki belőle a 3.2-as változat.

2.3-as verzió, de a többi rendben van egy próbát megér.
Holnap meg is kóstolom! :-)
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

+1

Egy aptitude update & aptitude full-upgrade után már a 2.2-ből 2.3 is lett!
Tehát nem kell újratelepíteni.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

- Lehet a tűzfalat úgy megoldani, hogy az egy virt. gép, és a külső ethernetet csak ő használja?

PCI passthrough a válasz a kérdésedre. Azaz csinálsz egy olyan virtuális gépet, aminek egyrészt ezzel odaadod a host helyett az ethernet-kártyát, másrészt csinálsz neki egy másik (az már "rendes" virtuális) interfészt, amin keresztül meg kommunikál a többiekkel.

Köszönöm, ilyesmire gondoltam. Kipróbálom.

En csinalnek ket virtualis switchet igy:

br0:
eth0 (kulso halo)
tap0 (tuzfal virt. gep kulso oldali haloja ide van kotve)

br1:
eth1 (belso, vedett halo tovabbi fizikai gepeknek)
tap1 (tuzfal virt. gep belso oldali haloja ide van kotve)
tap... (tovabbi virt. gepek haloi ide vannak kotve)

A lenyeg, hogy a br0-nak nincs IP cime, tehat a host gep nem elerheto rajta, csak egy vedetlen oldali switchkent funkcional.

A br1-nek meg van IP-je, az a default route, gateway a firewall gep belso oldali IP-je, stb, igy a host gep is a belso LAN-on van.

Ha kiprobalod ezt es a PCI passthrough-t is, esetleg irhatnal a performanciarol. (CPU terheles teljesen kitoltott cso eseten)

Kösz, valahogy így gondoltam.

Nekiállok kipróbálni, majd beszámolok az eredményről.

Erre a feladatra inkább paravirtualizáció lenne jobb szerintem.
Mostanában lxc-t használok teszt gépek futtatására. Nekem jól működik.
Egyszerű a kezelése, nincs over head stb.

http://smartos.org
illumos alapu, szoval rendes rendszered lesz. Kvm portolva ala, igy azzal sincs gond. Hasznalhatsz zonakat, abban lehet a fileszerver. ZFS filerendszer minden jo es rossz tulajdonsagaval. Crossbow halozatvirtualizacio. Csak ajanlani tudom. A Joyent Public Cloud es a Smartdatacenter is erre epul.