Konzept für Xen und komplexeres Netzwerk-Setup

VirtualBox, VMWare, KVM, XEN, OpenVZ, Virtuozzo, etc.
User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Konzept für Xen und komplexeres Netzwerk-Setup

Post by daemotron » 2007-11-26 23:19

Moin mal wieder,

ich grüble gerade über einem etwas komplexeren Xen-Setup, bei dem ich sowohl eine (virtuelle) DMZ als auch ein "privates" (virtuelles) Netz einrichten möchte. Ziel dabei ist, wie im "richtigen" Netzwerk Frontend- und Backend-Server (in dem Fall DomUs) netzwerktechnisch voneinander zu trennen.

Um mir hier nicht die Finger fusselig zu tippen, habe ich mal mehrere Szenarien aufgezeichnet, die bei mir momentan im Rennen sind. Vielleicht hat der ein oder andere von Euch ja mal ein paar Minuten Zeit und Muße, einen Blick drauf zu werfen. Abgelegt habe ich das ganze unter http://projects.my-universe.com/xen/

Was mich insbesondere interessieren würde:
  • Hat von Euch schon mal jemand mit einer Backend-DomU für (p)eth0 hantiert?
  • Auch schon auf einem System ohne physischen Zugriff, KVM, serieller Konsole oder RAC?
  • Wie würdet Ihr die Vorteile eines separaten Routers für das private Netz unter Sicherheitsgesichtspunkten einschätzen?
  • Wie sieht es mit Erfahrungswerten oder einer Einschätzung des administrativen Aufwandes aus?
  • Würdet Ihr Filter auf de[m|n] Router[n] einsetzen? Wenn ja, welche Techniken?
So, das war's erst mal soweit - jetzt hoffe ich einfach mal auf eine spannende Diskussion.

aquajo
RSAC
Posts: 167
Joined: 2003-02-25 21:07

Re: Konzept für Xen und komplexeres Netzwerk-Setup

Post by aquajo » 2007-11-30 21:25

So als Idee:
Richte doch zwei Bridges in der Dom0 ein, eine hat Verbindung zur eth0 (Internet), die andere nur für die privaten virtuellen Servern hinter der Firewall DomU.

Das ist vom Setup sehr bequem zu machen.

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Konzept für Xen und komplexeres Netzwerk-Setup

Post by daemotron » 2007-12-01 13:16

Moin AquaJo,

klar, zwei Bridges wären die einfachste Lösung. Es besteht nur folgendes Problem: Ich habe für eth0 eine öffentliche IP-Adresse sowie ein /29er Subnetz (also 6 nutzbare Adressen) für die DMZ-DomUs. Der Provider hat als Route für das /29er Subnetz die ursprüngliche öffentliche IP eingetragen, so dass ich mich um das Routing von eth0 auf die DMZ-DomUs selber kümmern muss. Nur deshalb habe ich überhaupt Routing in der Dom0...

Anyway, ist es eigentlich ohne große Verrenkungen möglich, xend mit Routed und Bridged Network zu benutzen?

aquajo
RSAC
Posts: 167
Joined: 2003-02-25 21:07

Re: Konzept für Xen und komplexeres Netzwerk-Setup

Post by aquajo » 2007-12-01 23:42

jfreund wrote:Anyway, ist es eigentlich ohne große Verrenkungen möglich, xend mit Routed und Bridged Network zu benutzen?


Noch nicht ausprobiert, aber man müsste in der DomU-Config das zu verwendende Network-Skript angeben können ...

Also eher kein Problem