我有一台 RedHat 7 服务器和几台 Ubuntu KVM。客户虚拟机使用 NAT 连接,因为我们目前没有多余的公网 IP 地址。
是否可以使用 iptables 将流量从主机端口 443 路由到所有虚拟机?
我已经拥有 iptable 规则,可以将 ssh 从外部 ip 地址直接路由到虚拟机。我假设因为我要为每个虚拟机路由一个专用端口号,所以不可能将单个主机端口路由到我的所有虚拟机。
默认传入和转发设置为拒绝。
答案1
我的家庭实验室也有类似的设置。我将相关端口从互联网转发到运行 HAProxy 的虚拟机,然后该虚拟机从传入流量中读取主机头,并将其转发到正确的后端虚拟机/容器。
请注意,至少对于 HTTPS 流量,您不一定需要在客户端和 HAProxy 以及 HAProxy 和后端之间使用相同的证书。这简化了使用 LetsEncrypt 自动续订 TLS 证书的过程,同时保持传输中的流量加密。