我想使用 Xen 将我的服务 Mail、HTTP、Dev 放入单独的虚拟机中。我有一个公共 IP,想将所有 domU 放在私有 LAN 中,并通过端口转发公开服务。
在这种情况下最佳做法是什么?
- dom0 作为防火墙还是分离的 domU 实例?
- 如何维护 iptables 规则(Xen 也创建了一些规则)?
答案1
Xen 的最佳实践是尽可能分解(换句话说 - 分割)管理域(dom0)的功能,以确保安全性、整个系统的可靠性甚至性能。(http://www.cs.ubc.ca/~andy/papers/xoar-sosp-final.pdf), 另请参阅 Ian Pratt 对 XenReference 架构的评论 (http://www.slideshare.net/xen_com_mgr/2-ian-pxencommunityupdate和http://vimeo.com/27655610)
如果将 NAT 防火墙放在 domU 中,那么还可以将防火墙规则隔离到该系统,这样它们就不会发生冲突。