我想我应该首先描述一下这个项目的最终目标......
我想将我的桌面设置为在主机操作系统上以客户机身份运行。它可能是虚拟机或容器,或者其他什么,我还没有确定。主机将负责几件事;将客户机的主分区备份到第二个驱动器就是一个例子。我还希望它运行 http 缓存,并连接到互联网以接收安全更新...
我知道让整个 NIC 通过是为虚拟机提供互联网的一种方式。但是,这意味着主机无法缓存任何内容,并且我需要在当前设置中添加第二个 NIC。
我还知道虚拟机管理程序会为其客户操作系统设置 VLAN,并充当其路由器。这是可以接受的。但是,我希望这对于客户操作系统来说是一个透明的过程……本质上意味着没有防火墙。我不想每次想要更改端口设置时都必须通过 ssh 进入我的主机。
我考虑为主机设置两个 IP 地址。一个用于主机自身,另一个用于 VLAN 的外部。发往主机的流量会通过严格的防火墙,而发往客户操作系统的流量只会被缓存(如果适用),然后进行路由。
首先,这是处理这个问题的最佳方法吗?如果是,这是一个安全的选择吗?对于主机操作系统来说,就是这样。在这样的安排下,是否仍有可能攻击主机操作系统?“虚拟交换机”和 http 缓存是否足够隔离?
提前感谢您的建议。
编辑:哎呀,我想我有点含糊其辞。该项目确实使用了 Ubuntu/Canonical 产品,但我想这个问题更像是一个普遍问题……基本上,我计划使用的主机操作系统是 Ubuntu 服务器。我想通过 vpn 使用 Canonical 的 Landscape 应用程序远程管理它(这将是主机唯一的外部连接)。但是,我希望这对客户操作系统不可见。这意味着,客户将通过其本地离散路由器等访问互联网。
基本上,我的家人一直要求我修理他们的电脑。十有八九,问题是他们在更新时关闭了电脑,或者安装了勒索软件,或者类似的东西。我希望能够坐在电脑前,按几个按钮,让电脑再次运行,而不必开车去他们家修理。
我不想让我的主机操作系统也受到随机攻击,所以我想仔细检查这种安排不会使它变得脆弱。