บรรจวบ เข้าสู่ระบบ
Score:0
avatar Server

เหตุใดฉันจึงกำหนดเส้นทางไปยังคอนเทนเนอร์ภายในเครื่อง และฉันจะทำให้ดีขึ้นได้อย่างไร

ธง fr
Lars Hanke

ฉันกำลังตั้งค่าเซิร์ฟเวอร์ใหม่ที่ไซต์ใหม่ เซิร์ฟเวอร์ตั้งอยู่หลังเราเตอร์/ไฟร์วอลล์ เซิร์ฟเวอร์จะเรียกใช้คอนเทนเนอร์ LXC หลายตัวสำหรับบริการต่างๆ ตู้คอนเทนเนอร์ LXC เชื่อมต่อกับสะพาน brlxc. เซิร์ฟเวอร์ยังเชื่อมต่อกับไซต์อื่นโดยใช้ OpenVPN ในคอนเทนเนอร์ LXC อีกอันที่เชื่อมต่อกับ NIC ของเซิร์ฟเวอร์ เนื่องจากปัญหาเกี่ยวกับการตั้งค่าแบบเก่า เป้าหมายคือการใส่ฟังก์ชันการกำหนดเส้นทางและไฟร์วอลล์ลงในเราเตอร์ภายนอกโดยเฉพาะ

เราลงเอยด้วยสิ่งนี้:

เราเตอร์: 10.1.1.1
เซิร์ฟเวอร์: 10.1.1.2
OpenVPN: 10.1.2.2 (เชื่อมต่อกับ 10.1.1.2 NIC และเชื่อมต่อกับเราเตอร์)
brlxc: 10.1.3.1 (บนเซิร์ฟเวอร์)
คอนเทนเนอร์: 10.1.3.2 (บน brlxc)
ภายนอกไซต์: 10.2.0.0/16 (ผ่าน 10.1.2.2)

กล่องเราเตอร์เชื่อมต่อด้วยสายเคเบิลเส้นเดียวไปยังเซิร์ฟเวอร์

เซิร์ฟเวอร์และไคลเอนต์ OpenVPN ได้รับ 10.1.1.1 เป็นเส้นทางเริ่มต้น คอนเทนเนอร์ 10.1.3.1 บนเซิร์ฟเวอร์ เราเตอร์ 10.1.1.1 มีเส้นทางส่ง 10.2.0.0/16 ผ่าน 10.1.2.2 มีเส้นทางส่ง 10.1.3.0/24 ผ่าน 10.1.1.2 และตอนนี้มี 10.1.0.0/16 เป็น LAN

สิ่งแรกที่ทำให้ฉันงงคือฉันต้องการ 10.2.0.0/16 ผ่าน 10.1.2.2 เป็นเส้นทางคงที่บนเซิร์ฟเวอร์ มิฉะนั้น เราเตอร์จะส่งการเปลี่ยนเส้นทาง ICMP และการเชื่อมต่อหยุดทำงาน

หลังจากเพิ่มคอนเทนเนอร์ LXC แรกแล้ว ฉันจำเป็นต้องเพิ่ม 10.1.3.0/24 ผ่าน 10.1.1.2 ไปยังไคลเอนต์ OpenVPN

แม้ว่าจะไม่ยากที่จะตั้งค่าเส้นทางทั้งหมดเหล่านี้และในที่สุดก็กำหนดแม้แต่กฎไฟร์วอลล์บนเซิร์ฟเวอร์ แต่สิ่งนี้ไม่เป็นไปตามเป้าหมายการออกแบบของฉันที่ต้องการให้เราเตอร์กำหนดเส้นทางและไฟร์วอลล์ และเซิร์ฟเวอร์เพื่อเรียกใช้บริการ

ฉันเดาว่ามีวิธีที่ดีกว่าที่จะทำ และดูเหมือนว่าฉันจะพลาดสิ่งสำคัญบางอย่างไป ฉันขอขอบคุณคำแนะนำบางอย่างเกี่ยวกับสิ่งนี้

41
0 + 0
djdomi avatar
za flag
djdomi
คุณมีปัญหาในการคิด เซิร์ฟเวอร์ควรรู้ได้อย่างไรว่าแพ็กเก็ตใดต้องทิ้งที่ไหนสักแห่ง ฉันคิดว่าคุณควรพิจารณาโมเดล OSI มากกว่าหนึ่งครั้ง ;)
0
ตอบกลับ
fr flag
Lars Hanke
ฉันคิดว่าฉันพลาดบางอย่างไป และความรู้ของฉันเกี่ยวกับเลเยอร์ OSI ที่ต่ำกว่ายังมีที่ว่างสำหรับการปรับปรุงอย่างแน่นอนแนวคิดที่ไร้เดียงสาคือเซิร์ฟเวอร์เพียงแค่ส่งทุกอย่างไปยังเราเตอร์และปล่อยให้มันตัดสินใจ จากนั้นอาจส่งคืนบรรจุภัณฑ์โดยใช้สายเคเบิลเดิมที่ได้รับมา แต่ฉันคงต้องแยกพวกมันออกโดยใช้ VLAN - แค่รำพึง ...
0
ตอบกลับ
Score:0
avatar Server
ธง fr
Lars Hanke

ฉันพบวิธีแก้ปัญหาสำหรับปัญหาที่โพสต์ ตอนนี้ฉันใช้อินเทอร์เฟซอีเธอร์เน็ตที่ติดแท็กกับเราเตอร์และแจกจ่าย VLAN โดยใช้ eth0.VLAN ส่วนต่อประสานกับบริดจ์ที่ไม่มีแอดเดรสไปยังโฮสต์

อัตโนมัติ brvlanX
iface brvlanX inet แบบคงที่
  bridge_ports eth0.vlanX
  บริดจ์_fd 0
  สะพาน_nowait 0
  ที่อยู่ 0.0.0.0

และโฮสต์เองก็สามารถใช้อินเทอร์เฟซ VLAN ของเขาได้ทันที

ซึ่งกำหนดเส้นทางทราฟฟิกทั้งหมดของเครื่องเสมือน/คอนเทนเนอร์ของโฮสต์ผ่านเราเตอร์ ซึ่งสามารถบังคับใช้กฎไฟร์วอลล์ได้

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา