Szeretném otthon egy gépen belül megvalósítani a következő funkciókat:
- Tűzfal
- Védett (belső) fájlszerver
- Külső fájlszerver
- Egyéb teszt gépek.
A hardver: két ethernet kártya, négy mag proci, 8G ram, sok vinyó.
Kérdésem:
- Lehet a tűzfalat úgy megoldani, hogy az egy virt. gép, és a külső ethernetet csak ő használja?
KVM/QEMU-t használok Ubuntu alatt.
P.S.: Tudom, bíztos volt már itt a fórumon, de nem találta kielégítő válaszokat.
Előre is köszönöm
Nagy Péter
- 6504 megtekintés
Hozzászólások
http://zrubi.hu/ - QUBES OS :)
- A hozzászóláshoz be kell jelentkezni
Kösz, ez érdekes. Valami ilyesmit szeretnék, csak ehhez az egész vasat le kell gyalulni.
- A hozzászóláshoz be kell jelentkezni
Ha egy gépem van, a következőt választanám:
Host OSen a nekem szükséges szolgáltatások, 1 ethernet kártyán a trust, egy bridge-en pedig a második ethernet +1 tap interface Belső hálózati szolgáltatásokat szigorúan ráfeszíteni erre a bridge-re. Ha KVM mellett döntesz, akkor erre meg mehet a többi proba OS meg erre.
A tűzfalat abban az esetben virtualizálnám, ha a gépet csak a virtuális környezet kialakítására használom és minden OS ezen felül fut.
- A hozzászóláshoz be kell jelentkezni
Ez működik nekem most, csak féltem a host oprendszert a tűzfaltól.
- A hozzászóláshoz be kell jelentkezni
Melyik milyen?
- A hozzászóláshoz be kell jelentkezni
Bocs, csak közben el kellett mennem. Most a host gép a tűzfal is egyben, és azon gondolkozom, hogy kell-e, lehet-e, érdemes-e guest-be tenni. A többi funkció (pl. belső szerver) külön guestekben vanak.
- A hozzászóláshoz be kell jelentkezni
Felteszel egy XenServer (citrix),ESXi (vmware),Xen (opensource),HyperV,és azon futtatod megfelelő applienceket.:)
-Fájlszervernek:Openfiler,Freebsd
-Tűzfalak:Linux,FREEBSD(iptables),Applience
- A hozzászóláshoz be kell jelentkezni
Kösz, ez jó ötlet, csak eddig csak QEMU/KVM-el dolgoztam, meg akarnám spórolni a platform váltást.
- A hozzászóláshoz be kell jelentkezni
Tegyél próbát a Proxmox VE-vel, az QEMU/KVM-et használ + OpenVZ-t. Van hozzá webes felület. Most jött ki belőle a 3.2-as változat.
- A hozzászóláshoz be kell jelentkezni
2.3-as verzió, de a többi rendben van egy próbát megér.
Holnap meg is kóstolom! :-)
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
Egy aptitude update & aptitude full-upgrade után már a 2.2-ből 2.3 is lett!
Tehát nem kell újratelepíteni.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox
- A hozzászóláshoz be kell jelentkezni
- Lehet a tűzfalat úgy megoldani, hogy az egy virt. gép, és a külső ethernetet csak ő használja?
PCI passthrough a válasz a kérdésedre. Azaz csinálsz egy olyan virtuális gépet, aminek egyrészt ezzel odaadod a host helyett az ethernet-kártyát, másrészt csinálsz neki egy másik (az már "rendes" virtuális) interfészt, amin keresztül meg kommunikál a többiekkel.
- A hozzászóláshoz be kell jelentkezni
Köszönöm, ilyesmire gondoltam. Kipróbálom.
- A hozzászóláshoz be kell jelentkezni
En csinalnek ket virtualis switchet igy:
br0:
eth0 (kulso halo)
tap0 (tuzfal virt. gep kulso oldali haloja ide van kotve)
br1:
eth1 (belso, vedett halo tovabbi fizikai gepeknek)
tap1 (tuzfal virt. gep belso oldali haloja ide van kotve)
tap... (tovabbi virt. gepek haloi ide vannak kotve)
A lenyeg, hogy a br0-nak nincs IP cime, tehat a host gep nem elerheto rajta, csak egy vedetlen oldali switchkent funkcional.
A br1-nek meg van IP-je, az a default route, gateway a firewall gep belso oldali IP-je, stb, igy a host gep is a belso LAN-on van.
Ha kiprobalod ezt es a PCI passthrough-t is, esetleg irhatnal a performanciarol. (CPU terheles teljesen kitoltott cso eseten)
- A hozzászóláshoz be kell jelentkezni
Kösz, valahogy így gondoltam.
Nekiállok kipróbálni, majd beszámolok az eredményről.
- A hozzászóláshoz be kell jelentkezni
Erre a feladatra inkább paravirtualizáció lenne jobb szerintem.
Mostanában lxc-t használok teszt gépek futtatására. Nekem jól működik.
Egyszerű a kezelése, nincs over head stb.
- A hozzászóláshoz be kell jelentkezni
http://smartos.org
illumos alapu, szoval rendes rendszered lesz. Kvm portolva ala, igy azzal sincs gond. Hasznalhatsz zonakat, abban lehet a fileszerver. ZFS filerendszer minden jo es rossz tulajdonsagaval. Crossbow halozatvirtualizacio. Csak ajanlani tudom. A Joyent Public Cloud es a Smartdatacenter is erre epul.
- A hozzászóláshoz be kell jelentkezni