我正在尝试使用 kvm 设置一些虚拟服务器,但苦于不知道该如何处理网络配置。目前,我在防火墙 (asa 5505) 后面有 10 台专用服务器 - 我想将其中 2 台专用服务器用作 kvm 主机,每台服务器托管 5 台虚拟机。
过去,我曾遵循一些教程,这些教程要求我创建一个桥接器 (br0) 到 kvm 主机上的 eth0,以允许它们进入防火墙上配置的网络。这让我想到了我的问题,即防火墙上的“内部”接口具有 xxxx/28 的网络/子网,它无法为我将拥有的 10 个专用服务器 + 10 个虚拟服务器提供足够的 ip。
我想我的问题是,我有哪些选择,以及如何配置它们?一种选择是更改子网掩码,但这意味着更改防火墙上配置的站点到站点 VPN,我很不愿意这样做。
我不确定现阶段是否应该让事情复杂化,但是:
- 一些虚拟机需要公共 IP(即 xxxx 地址)
- 专用服务器 1 上的虚拟机需要能够与专用服务器 2 上的虚拟机通信
答案1
您可以轻松设置NAT 路由而不是 KVM 主机上的桥接路由。但是,如果您需要与 NAT 后面的客户虚拟机建立入站连接,则可能需要解决一些问题。您可以在 KVM 主机上设置规则,将特定入站流量通过端口转发到指定的客户机,但(与大多数 NAT 一样)除非您有某种负载平衡或其他高级流量管理层,否则一个端口只能转发给一个客户机。
此外,如果您可以根据虚拟机需要与之通信的其他虚拟机来隔离分配给每个主机的虚拟机,那么您可能能够在没有端口转发的情况下使用 NAT。
综上所述,如果是我,并且我控制地址空间,我只需更改子网,根据需要调整 VPN 路由,并使用桥接网络。
答案2
我会坚持使用网桥,并且(可能)为内部流量使用单独的 VLAN,并使用内部 NAT/路由器来处理“内部”网络及后续网络的 NAT。
一个更好的解决方案是简单地增加“内部”的子网大小