Xen NAT dom0 公共 IP domU 端口转发

Xen NAT dom0 公共 IP domU 端口转发

我想使用 Xen 将我的服务 Mail、HTTP、Dev 放入单独的虚拟机中。我有一个公共 IP,想将所有 domU 放在私有 LAN 中,并通过端口转发公开服务。

在这种情况下最佳做法是什么?

  • dom0 作为防火墙还是分离的 domU 实例?
  • 如何维护 iptables 规则(Xen 也创建了一些规​​则)?

答案1

Xen 的最佳实践是尽可能分解(换句话说 - 分割)管理域(dom0)的功能,以确保安全性、整个系统的可靠性甚至性能。(http://www.cs.ubc.ca/~andy/papers/xoar-sosp-final.pdf), 另请参阅 Ian Pratt 对 XenReference 架构的评论 (http://www.slideshare.net/xen_com_mgr/2-ian-pxencommunityupdatehttp://vimeo.com/27655610

如果将 NAT 防火墙放在 domU 中,那么还可以将防火墙规则隔离到该系统,这样它们就不会发生冲突。

相关内容