Ubuntu 隔离网络和客户的最佳方式是什么?(kvm/qemu/libvirt)
我想知道如何“保护”KVM客户机/网络免受同一服务器上其他网络中其他客户机的影响的最佳方法 今天,我有一个专用服务器,用于运行KVM/qemu/libvirt,对于每个客户,我都有一个网络子网。例如: -客户_A-192.168.10.0/29 -客户_B-192.168.11.0/29 但是客户A可以将机器ping到客户B的网络中,反之亦然 为了解决这个问题,我在专用服务器中创建了一个防火墙,并阻止了从一个网络到另一个网络的转发,但我的问题是,我是否可以使用vlan来避免一个网络与另一个网络通信?隔离网络和客户的最佳方式是什么 谢谢。Libvirt有一个防火墙规则,允许您定义一般防火墙规则,并将它们与提供给来宾的各个NIC关联。当启动/停止来宾或热插拔来宾时,Libvirt根据需要将这些转换为对ebtables/iptables的调用。因此,使用它可以让您更直接地在libvirt上下文中管理防火墙规则。这可能是控制来宾之间访问的入侵性最小的方法,因为它不要求使用VLAN之类的东西来分隔来宾。Libvirt提供了一个“干净流量”nwfilter定义示例,可以进行MAC和IP地址欺骗保护 需要记住的一点是,一些客户可能希望他们的虚拟机可以被整个世界访问,而不管连接的人是来自internet上其他地方的用户还是同一主机上另一个虚拟机上的用户。例如,如果客户A正在托管一个面向公众的网站,那么几乎没有理由阻止客户B连接到该网站。在这方面,使用防火墙规则可能比使用VLAN完全分离流量更具灵活性Ubuntu 隔离网络和客户的最佳方式是什么?(kvm/qemu/libvirt),ubuntu,qemu,kvm,libvirt,Ubuntu,Qemu,Kvm,Libvirt,我想知道如何“保护”KVM客户机/网络免受同一服务器上其他网络中其他客户机的影响的最佳方法 今天,我有一个专用服务器,用于运行KVM/qemu/libvirt,对于每个客户,我都有一个网络子网。例如: -客户_A-192.168.10.0/29 -客户_B-192.168.11.0/29 但是客户A可以将机器ping到客户B的网络中,反之亦然 为了解决这个问题,我在专用服务器中创建了一个防火墙,并阻止了从一个网络到另一个网络的转发,但我的问题是,我是否可以使用vlan来避免一个网络与另一个网络通