当我们的虚拟服务器集合达到一定规模时,我们从主机文件转移到 DNS 服务器。但是,每次添加新服务器时,我们仍然必须更新每台机器上的防火墙规则。(由于提供商的所有虚拟机都可以互相看到,包括其他客户的机器,因此我们需要在 iptables 规则中列出受信任的地址)
人们使用什么技术来集中管理 IPTables 配置? 目前我们能做的最好的事情就是将新的 IP 列表上传到每台机器并重新启动防火墙。有没有更好的方法?
[如果我们能以某种方式将 IPTables 可信地址与我们的 DNS 联系起来那就太好了 - 例如,我们的 DNS 中定义的任何东西都被归类为可信地址 - 但我认为这是不可能的]
答案1
查看 puppet 收集的资源和防火墙模块。它使用 ruby spaceship 运算符。
您可以在每个客户端清单上创建一个规则条目,然后将它们收集在一起以应用于每个其他客户端
这意味着你可以在一个节点上安装 puppet,并且它的 ip 会自动添加到所有其他节点。
我相信网上的例子对 ssh 已知主机文件有类似的作用