Ce document présente quelques possibilités d'organisation réseau pour des serveurs virtuels OpenVZ sur un serveur [:Debian:].
La méthode « ProgFou »
Principes
- les serveurs virtuels sont une segmentation sécuritaire des services offerts
- cette segmentation ne devrait pas être visible ou gênante pour les utilisateurs
- l'organisation réseau doit être la plus « naturelle » possible (pas de bidouillage infâme)
- mise en réseau autonome (une sorte de DMZ) des serveurs virtuels
Implémentation
utilisation du bloc d'adresses 192.168.127.0/24, choix arbitraire en référence au réseau 127.0.0.0/8
utilisation d'une interface dummy pour la « connexion » du serveur hôte :
sudo sh -c 'echo dummy >> /etc/modules' sudo modprobe dummy sudo sh -c 'cat >> /etc/network/interfaces' << __EOF__ auto dummy0 iface dummy0 inet static address 192.168.127.254 netmask 255.255.255.0 network 192.168.127.0 broadcast 192.168.127.255 __EOF__ sudo ifup dummy0
- deux méthodes possibles d'interaction avec les serveurs virtuels :
- masquage à l'aide de la traduction d'adresses
- utilisation d'un frontal se positionnant en intermédiaire
Masquage des serveurs virtuels via traduction d'adresse
À mettre dans un script lancé au démarrage du serveur hôte :
IPT="/sbin/iptables" IPTN="$IPT -t nat" IF_PUBLIC="eth0" IP_PUBLIC="207.46.232.182" NET_VZ="192.168.127.0/24" IF_VZ="dummy0" IP_VZ="192.168.127.254" IP_VZ_WWW="192.168.127.10" # masquage en sortie : $IPTN -A POSTROUTING -s "$NET_VZ" -o "$IF_PUBLIC" -j SNAT --to-source "$IP_PUBLIC" # masquage en entrée : $IPTN -A PREROUTING -d "$IP_PUBLIC" -p tcp --dport 80 -j DNAT --to-destination "$IP_VZ_WWW"
Installation d'un frontal
...(à compléter)...
La méthode « Tini »
...(Tini, tu mets quelques mots sur le bridge ?)...