经过一些研究,似乎在我的 Debian Xen 主机和其上的虚拟机之间共享文件的最佳方式是使用 NFS。
如何保护 NFS,以便只有指定的 VM 可以访问它?使用 IP 地址可以iptables
工作,但它似乎并不是最安全的方法。我可以在我的bond0
接口上阻止 NFS,并允许它在主机和使用该接口的虚拟机之间访问吗xenbr0
?这是我的/etc/network/interfaces
配置:
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# network interfaces
auto eth0
iface eth0 inet manual
bondmaster bond0
auto eth1
iface eth1 inet manual
bondmaster bond0
#lacp bonded interface
auto bond0
iface bond0 inet manual
bond-mode 4
bond-miimon 100
bond-lacp-rate 1
bond-slaves eth0 eth1
#xen bridge
auto xenbr0
iface xenbr0 inet static
bridge_ports bond0
address 10.0.0.12
gateway 10.0.0.1
netmask 255.255.255.0
答案1
首先我会使用 sshfs。
其次,Linux 上的 NFSv3 NFS 不安全。您可以构建私有 NFS 网络或使用安全的 NFSv4。
答案2
决定你想做什么:
- NFS 服务器上的 iptables 实现了独立于应用程序且更“通用”的网络安全
- 由 NFS 服务器上的 nfsd 实现的特定于应用程序的安全性
- 或两者。
在 NFS 中,您可以以只读方式将目录共享给特定客户端,如下所示:
echo "/mynfs clt.xmpl.com(sync)" >> /etc/exports.d/my-ro.exports
exportfs -r