Linux 브리지에서 VM 호스트 관리

Linux 브리지에서 VM 호스트 관리

vm-host두 개의 qemu-kvm 가상 머신을 실행하는 가상 머신 호스트( )가 있습니다.수도꼭지모델. 이는 네트워크 토폴로지가 다음과 같다는 것을 의미합니다.

네트워크 설정

VLAN 123을 통해 관리 해야 하므로 vm-host세 가지 접근 방식이 있습니다.

  • eth0.123인터페이스를 생성하고 관리 vm-hostIP를 다음과 같이 구성합니다.eth0.123
  • eth0.123와 사이에 브리지를 만들고 br0관리 IP를 다음과 같이 구성합니다.br0
  • 태그 123으로 보내기 전에 관리 IP를 직접 구성 eth0하고 관리 트래픽용 VLAN을 제거하도록 vm-host구성했습니다.r1vm-host

다른 디자인보다 확실히 더 나은 디자인이 있나요? 세 번째 디자인 옵션이 관점에서 가장 좋다고 생각합니다. vm-host서버는 처음 두 옵션처럼 VLAN 태그를 표시할 필요가 없고 관리 트래픽 프레임은 br0처음 두 옵션처럼 Linux 스위치를 통과하지 않기 때문입니다. . 두 번째 옵션. 즉, 이것이 가장 간단한 디자인 옵션인 것 같습니다. 두 번째 옵션은 Linux 브리지를 통해 트래픽을 라우팅하는 데 아무런 이점이 없기 때문에 최악의 옵션인 것 같습니다.

답변1

귀하의 상자에 여러 개의 VLAN(동일한 인터페이스에 있음)이 있는 경우 모두 태그를 지정하겠습니다. (예를 들어 두 개는 태그가 지정되고 하나는 태그가 지정되지 않은 대신) 이렇게 하면 문제의 VLAN이 무엇인지 명확해지기 때문에 나중에 구성을 더 쉽게 파악할 수 있습니다. 어쨌든 상자는 VLAN 태그를 처리해야 하며 병목 현상이 발생하지는 않습니다(IP/TCP/SSH/무엇이든 구문 분석하는 것과 비교할 때).

또한 관리 VLAN을 어떤 장치에도 브리지할 필요가 없다면 이를 브리지에 배치할 필요가 없습니다. 브리지를 생성하지 않는 것은 문제의 VLAN이 가상 머신에 적용되지 않고 호스트 자체에 적용된다는 명확한 표시입니다. (VLAN당 브리지를 가정합니다.)

그래서 이 선택들 중에서 저는 eth0.123에 관리를 맡겼습니다.

반면에 전체 독립 NIC를 관리 전용으로 사용할 수 있습니다. 깨끗하고 분리된 상태를 유지하는 것 외에도 관리 트래픽과 가상 머신이 동일한 대역폭을 두고 경쟁하지 않는다는 장점도 있습니다. 가상 머신 네트워크의 극단적인 트래픽도 관리 액세스를 직접적으로 압도할 수는 없습니다. (물론 상자 자체와 스위치가 이를 따라갈 수 있다는 가정하에요.)

(이 중 하나를 수행하는 데 "어려운" 이유가 있는지는 잘 모르겠습니다. 말씀하신 대로 몇 가지 방법이 있으며 개인 취향에 따라 달라질 수 있습니다. 확실하지 않은 경우 가장 쉬운 방법을 사용하세요. )

답변2

  1. eth0.123의 관리 IP

    단점 - 태그가 지정된 트래픽과 태그가 지정되지 않은 트래픽이 모두 브리지에 흐르므로 vlan123이 VM에 의해 위조될 수 있습니다. 이를 방지하려면 브리지에서 태그가 지정된 트래픽을 필터링해야 합니다(ebtables 도구).

    ebtables -t filter -A FORWARD -p 0x88a8 -j DROP
    ebtables -t filter -A FORWARD -p 0x8100 -j DROP
    
  2. @ilkkachu가 말했듯이 VLAN별 브리지는 가능하지만 거기에서 종료되고 "태그가 지정되지 않은" 브리지(물리적 인터페이스에 직접 바인딩됨)는 1과 동일한 문제를 겪습니다.

  3. 브리지(br0.123)에 VLAN을 설정하는 것이 가능해야 하지만 다시 1과 매우 유사하며 여러 VLAN을 혼합하는 브리지는 VLAN 간에 고유하지 않은 MAC 주소로 인해 어려움을 겪을 수 있습니다.

  4. 두 VLAN 모두에 태그가 지정되지 않도록 라우터에서 VLAN을 조작하는 것은 혼란스러워 보이며 보안 측면에서 호스트 관리와 버스트 간의 격리를 제공하지 않습니다. 그러나 라우터의 MAC 기반 VLAN이 합리적일 수도 있습니다. 브로드캐스트 도메인을 격리하는 것이 목표이지만 호스트를 가상 머신에서 안전하게 격리할 수 없는 경우.

관련 정보