Hogyan csinálnátok?

Virtualizáció

Szeretném otthon egy gépen belül megvalósítani a következő funkciókat:

- Tűzfal
- Védett (belső) fájlszerver
- Külső fájlszerver
- Egyéb teszt gépek.

A hardver: két ethernet kártya, négy mag proci, 8G ram, sok vinyó.

Kérdésem:

- Lehet a tűzfalat úgy megoldani, hogy az egy virt. gép, és a külső ethernetet csak ő használja?

KVM/QEMU-t használok Ubuntu alatt.

P.S.: Tudom, bíztos volt már itt a fórumon, de nem találta kielégítő válaszokat.

Előre is köszönöm
Nagy Péter

  • 6504 megtekintés

( szollosiimre | 2013. 03. 06., sze – 16:27 )

Ha egy gépem van, a következőt választanám:

Host OSen a nekem szükséges szolgáltatások, 1 ethernet kártyán a trust, egy bridge-en pedig a második ethernet +1 tap interface Belső hálózati szolgáltatásokat szigorúan ráfeszíteni erre a bridge-re. Ha KVM mellett döntesz, akkor erre meg mehet a többi proba OS meg erre.

A tűzfalat abban az esetben virtualizálnám, ha a gépet csak a virtuális környezet kialakítására használom és minden OS ezen felül fut.

( W3ber | 2013. 03. 06., sze – 17:38 )

Felteszel egy XenServer (citrix),ESXi (vmware),Xen (opensource),HyperV,és azon futtatod megfelelő applienceket.:)
-Fájlszervernek:Openfiler,Freebsd
-Tűzfalak:Linux,FREEBSD(iptables),Applience

( Zahy v | 2013. 03. 06., sze – 23:37 )

- Lehet a tűzfalat úgy megoldani, hogy az egy virt. gép, és a külső ethernetet csak ő használja?

PCI passthrough a válasz a kérdésedre. Azaz csinálsz egy olyan virtuális gépet, aminek egyrészt ezzel odaadod a host helyett az ethernet-kártyát, másrészt csinálsz neki egy másik (az már "rendes" virtuális) interfészt, amin keresztül meg kommunikál a többiekkel.

En csinalnek ket virtualis switchet igy:

br0:
eth0 (kulso halo)
tap0 (tuzfal virt. gep kulso oldali haloja ide van kotve)

br1:
eth1 (belso, vedett halo tovabbi fizikai gepeknek)
tap1 (tuzfal virt. gep belso oldali haloja ide van kotve)
tap... (tovabbi virt. gepek haloi ide vannak kotve)

A lenyeg, hogy a br0-nak nincs IP cime, tehat a host gep nem elerheto rajta, csak egy vedetlen oldali switchkent funkcional.

A br1-nek meg van IP-je, az a default route, gateway a firewall gep belso oldali IP-je, stb, igy a host gep is a belso LAN-on van.

Ha kiprobalod ezt es a PCI passthrough-t is, esetleg irhatnal a performanciarol. (CPU terheles teljesen kitoltott cso eseten)

( nagysa v | 2013. 03. 07., cs – 16:02 )

Erre a feladatra inkább paravirtualizáció lenne jobb szerintem.
Mostanában lxc-t használok teszt gépek futtatására. Nekem jól működik.
Egyszerű a kezelése, nincs over head stb.

( Athes v | 2013. 03. 08., p – 07:05 )

http://smartos.org
illumos alapu, szoval rendes rendszered lesz. Kvm portolva ala, igy azzal sincs gond. Hasznalhatsz zonakat, abban lehet a fileszerver. ZFS filerendszer minden jo es rossz tulajdonsagaval. Crossbow halozatvirtualizacio. Csak ajanlani tudom. A Joyent Public Cloud es a Smartdatacenter is erre epul.