我见过一个系统,其中有一台物理机器(我们称之为 Hypervizor),上面安装了 3-4 个客户机。其中一个称为防火墙,只有先通过 SSH 进入防火墙,然后再通过 SSH 进入 Hypervizor,才能访问 Hypervizor。无法直接连接到 Hypervizor,外界完全无法访问它。
如何在 CentOS 7 上使用 KVM 执行相同操作?其背后的逻辑是什么?
答案1
虚拟机监控程序仅监听内部虚拟网络上的 SSH 连接。这可以使用iptables或sshd接口绑定来完成。
防火墙机器只能通过网络访问,这可以通过多种方式实现。如果您使用开放式 vswitch,则可以创建一个可从外部网络访问的不同内部网络。如果您为防火墙机器提供两个接口(仅虚拟机监控程序网络和外部网络),则可以实现此目的。