在我们的(物理)主机上启用KVM嵌套虚拟化是否安全,以使用户能够在其VPS内运行自己的虚拟机? 或者它是否向我们的主要主机引入了一些安全问题,嵌套虚拟化只能用于可信的虚拟机?
build立 主机操作系统是运行libvirt的Centos7。 我有多个guest虚拟机使用macvtap作为桥接绑定接口(br0)的接口。 br0是bond0的桥梁,其中包括两个以太网接口em1和em2。 我有本地networking和广域网之间的Cisco RSV4000。 端口80被转发到我的来宾IP(静态)运行Apache Web服务器。 Internet <==WAN==> Cisco RSV4000 <==LAN==> CentOS7 VM[<==macvtap0==>Guest OS] 问题 我可以访问局域网上的networking服务器,但无法从networking外访问它。 如果我尝试从外部networking访问Web服务器,则会收到(52) Empty reply from server 。 (注意:对于我的所有客人来说,这似乎是正确的,因为其中一个是VPN服务器,而我无法从WAN端连接)。 有任何想法吗? UPDATE 我用Ubiquiti USG Pro 4取代了Cisco RSV4000,并且全部正在运行。 切换回RSV4000可以重现问题。 不知道什么是造成这种现象。
我倾向于软件RAID而不是硬件RAID来解决恢复问题。 当RAID卡出现故障时,我已经阅读了有关灾难的消息,并且听到许多成功案例在不同的RAID控制器上使用Linux RAID恢复。 我的服务器是带有ServeRAID M5110卡的IBM x3550,用作KVM虚拟化主机。 我在ServeRAID设置JBOD中制作所有八个磁盘。 我进入CentOS 7安装并创build我的RAID10没有问题,但后来我看到这些POST事件,每个驱动器“GPT腐败”一个和第九个条目: 司机健康议定书:报告'失败的'状态控制员 我正在以正确的方式去做这件事吗? 任何指导或build议表示赞赏。 让我也注意到我的CentOS 7安装正常工作没有问题,只看到这些POST事件。 没有提到磁盘是固态硬盘,只使用JBOD时得到POST事件,卡RAID可以正常工作。
我有一个虚拟化的机器(一个PFSense防火墙和一个Windows 7盒testing连接)的小拓扑。 主机configuration了两个网桥接口 br0连接主机WAN(eno3)和PFSense WAN(xn0)。 这为两台主机提供了互联网连接。 我可以成功地从外面连接到两者。 br1将PFSense LAN(xn1)连接到其他guest虚拟机的虚拟适配器(本例中为Windows 7)。 我的问题是,无论出于什么原因,我不能让br1内的主机相互ping通。 如果我从主机添加一个地址给br1,我可以发送和接收ping给这两个guest虚拟机的IP地址,并且可以ping主机地址。 在检查Wireshark我可以看到两台主机广播ARP来find另一台机器。 但永远不会变成一个成功的平。 我试过禁用Windows 7客户端上的防火墙,但它仍然无法正常工作。
我有一个Ubuntu的14.04 LTS服务器3 nic,3外部ip从3不同的子网与3不同的网关。 我已经安装了libvirt KVM和两个Windows 7 64位客户机。 eth0(1.1.1.1与网关1.1.1.254)是Ubuntu主机(和一个tun0 OpenVPN)。 br1-eth1(2.2.2.2带网关2.2.2.254)是Win7-1 guest和 br2-eth2(3.3.3.3与网关3.3.3.254)是Win7-2 guest。 的/ etc /networking/接口 auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 1.1.1.1 netmask 255.255.255.0 gateway 1.1.1.254 dns-nameservers 8.8.4.4 8.8.8.8 auto br1 iface br1 inet manual bridge_ports eth1 bridge_fd 0 bridge_hello 2 bridge_maxage 12 bridge_stp off auto br2 […]
注意: 我仍然无法使这个configuration工作,但只要我想出来就会发布我的解决scheme。 我正在设置一个Ubuntu主机服务器(16.04),其上运行着许多KVM。 主机服务器有4个物理网卡,它们成对连接以访问面向公众的networking和专用networking。 主机具有分配给它的主公有子网(只有一个可用的外部IP)和主私有子网(具有一个可用的内部IP)。 此外,我还获得了另外两个8个IP子网,其中一个是公有的,另一个是私有的,用于这台主机上的虚拟机。 例如这里是我的IP布局: 主持人: 公共主要网段:200.0.0.72/29 – 可用公开IP:200.0.0.75 私有主要子网:10.0.0.128/26 – 可用私有IP:10.0.0.138 对于VMS 公共便携式子网:200.0.1.240/29,5可用公用IP 私人便携子网:10.0.1.216/29,5可用的私人IP 我有很多麻烦让主机有一个单独的子网从我的网桥接口的虚拟机。 当我有指定的网桥时,似乎我不能让主机正确地连接到networking,而只有在绑定接口上的主机区域没有指定networking时,网桥才能工作。 我的接口文件如下。 你在这里看到的是我所期望的结果,而实际上并不工作。 我已经能够通过评论不同的部分和重新启动networking来获得作品。 我还从ISP的每条指令中添加了路由命令(路由添加),但是他们还没有能够帮助桥接方面和虚拟机。 ############################################ #For more information, see interfaces(5). ############################################ ##Loopback auto lo iface lo inet loopback ## Setup bond0 interface – INTERNAL CONNECTIONS auto bond0 iface bond0 inet static bond-lacp-rate 1 #pre-up /sbin/ethtool -s […]
我在CentOS 7主机上运行KVM。 主机通过一个网卡连接到一个非标记端口,PVID设置为VLAN 100.我已经在主机上build立了VLANnetworking连接。 我相信这些networking的设置方式与“在VLAN中添加VLAN – 通常的访客访问模式”一节中介绍的相同。 也就是说,我为networking上的每个VLAN都有一个子接口+网桥,包括与主机相同的VLAN。 (所以100,200,300等)当在与主机不同的VLAN上创build客户机时,一切正常:客户机通过DHCP等获得来自路由器的IP。 但是,当我尝试创build一个与主机位于同一个VLAN的guest虚拟机时(使用br100,其接口为eth0.100,类推),它无法从路由器获取IP地址。 我不明白这是为什么。 我尝试了在这里添加一个ebtables规则到路由表的build议。 它没有工作,但我不知道是否应该这样做。 任何人都可以解决这个问题,并解释为什么与主机在同一个VLAN的访客不能得到一个IP地址,和/或build议一个ebtables规则是否是解决这个问题的正确方法?
为了说明这一点,我安装了Ubuntu 17.04并安装了KVM,然后成功configuration了Windows Server 2016标准虚拟机。 networking/互联网接入明智的一切工作完全正常,直到今天上午我注意到,在浏览器中导航时,我无法访问某些网站。 我发现了问题的根源,但是我对iptables的了解很less,经过无数个小时的研究,我仍然没有想到。 这是问题的影响。 HTTP S网站工作。 HTTP网站不工作(ERR_CONNECTION_TIMED_OUT) 我在IIS上的IIS网站工作,并可以从任何地方访问 我正在使用主机和来宾之间的NAT连接。 我使用它们提供的/ etc / libvirt / hooks / qemu脚本来转发端口,我发现问题的根源(下面的编号1和2) 编辑:我把这些在这里看得更好: 1- sbin / iptables -t nat -D PREROUTING -p tcp –dport 80 -j DNAT – to $ GUEST_IP:80 2- sbin / iptables -t nat -I PREROUTING -p tcp –dport 80 -j DNAT – 到目的地$ […]
我试图找出在同一个盒子上与多个虚拟机共享存储的最佳方式。 我知道一系列的select:NFS,iSCSI,光纤通道,桥接等,但我不清楚它们如何组合在一起或相互排斥。 根据我目前阅读的内容,以下是一些我所理解为真实的陈述,但不是确定的陈述。 如果有人能够肯定或纠正我的理解,那就太好了。 目前我正在考虑使用Proxmox(KVM + ZFS),但是如果其他虚拟机pipe理程序在这些语句方面有重要的区别,请解释一下。 对或错?: 为了在同一主机上的虚拟机之间共享存储设备,我可以使用桥接networking来最大化速度。 使用桥接networking,不使用物理networking硬件,而是CPU充当虚拟网卡,速度更快,因为系统总线的速度限制,而不是以太网/光纤通道等。 由于上述原因,除了消除less量的CPU开销之外,使用像光纤通道这样的特殊function与虚拟机共享存储没有任何好处。 使用fibrechannel卡可能会不必要地为虚拟机与托pipe存储的交互创build一个额外的步骤。 iSCSI vs NFS设置的速度和复杂性在虚拟机pipe理程序之间有很大差异,所以一旦我决定了一切,就应该做出这个select。
我在我的Centos 6专用服务器上设置了KVM主机。 我设法让VPS /客人build立和运行,但他们没有连接。 IP已经在客人身上提出来了,他们在KVM上使用我的桥(br0),但是IP没有被ping通,并且不能ping通外部。 KVM和guest虚拟机能够互相ping通,但guest虚拟机无法连接到KVM之外。 100%的数据包丢失。 KVM能够build立和接收外部连接。 正在用来创build客人的命令是: virt-install –name=vps2 –disk path=/var/lib/libvirt/images/vps2.img,size=8 –ram=512 –os-type=linux –network bridge:br0 –nographics –extra-args='console=tty0 console=ttyS0,115200n8 serial' –location '/tmp/CentOS-6.9-x86_64-minimal.iso' –boot cdrom 这是我的KVM主机的networking设置: /etc/sysconfig.network NETWORKING=yes HOSTNAME=**** NOZEROCONF=yes GATEWAY="91.***.***.254" virsh网表 Name State Autostart Persistent ————————————————– default active yes yes 使用ifconfig ifconfig br0 Link encap:Ethernet HWaddr D0:***:***:7C inet addr:91.***.***.216 Bcast:91.***.***.255 Mask:255.255.254.0 inet6 addr: fe80::d267:***:***:47c/64 […]