oVirt гипервизоры ашық бастапқы коды бар қуатты және икемді виртуализация платформасы болып табылады, ол деректер орталықтарында виртуалды машиналарды (ВМ) басқаруға кеңінен қолданылады. oVirt жүйесіндегі маңызды тапсырмалардың бірі — виртуалды машиналар мен олардың желілік трафигін қорғау.
Бұл мақалада біз oVirt гипервизорында файрволды қалай дұрыс баптауға және басқаруға болатынын, сондай-ақ виртуалды инфрақұрылымды қорғау үшін нақты командалар мен конфигурацияларды қарастырамыз.
1. oVirt жүйесіндегі файрволдың жұмыс істеу негіздері
oVirt KVM (Kernel-based Virtual Machine) гипервизорына негізделген және желі қауіпсіздігін басқару үшін iptables құралын пайдаланады, бұл Linux жүйесіндегі желілік трафикті сүзудің стандартты құралы болып табылады. oVirt жүйесіндегі файрволды баптау хосттар, виртуалды машиналар мен виртуалды желілер деңгейінде қауіпсіздікті басқарумен байланысты. Қорғауды қамтамасыз ету үшін файрвол oVirt жүйесінде екі деңгейде жұмыс істейді:
- Хосттың файрволы — трафикті хост деңгейінде сүзу, виртуалды машиналарды іске қосатын хосттарда.
- Виртуалды машиналар арасындағы трафикті сүзу — виртуалды машиналар арасындағы өзара әрекетті басқаруға арналған ережелерді баптау, олар әртүрлі виртуалды желілерге қосылған.
2. Файрволды баптауға арналған құралдар
oVirt жүйесіндегі желілік сүзгілеуді және файрволды басқару үшін екі негізгі әдіс пайдаланылады:
- oVirt Engine Web Console — виртуалды машиналарды және хосттарды басқару үшін веб-интерфейс.
- Командалық жол —
firewalld,iptablesнемесеfirewall-cmdсияқты командалық құралдар арқылы хосттар деңгейінде файрвол ережелерін басқару.
3. oVirt жүйесіндегі желілік сүзгілерді баптау
Виртуалды машиналар мен олардың трафигін қорғау үшін виртуалды желілер мен хосттар деңгейінде трафикті сүзуді дұрыс баптау өте маңызды. Оны қалай жасауға болатынын қарастырайық.
3.1. oVirt жүйесінде виртуалды желі құру
oVirt жүйесінде бірнеше виртуалды желілерді құрып, әртүрлі виртуалды машиналар арасындағы трафикті оқшаулауға болады. Мысалы, веб-серверлер мен дерекқорлар үшін жеке желі құруға болады.
- oVirt Engine интерфейсіне өтіңіз.
- Желілер қойындысын таңдап, Жаңа желі қосу батырмасын басыңыз.
- Желі параметрлерін енгізіңіз, мысалы, желінің атауы, VLAN ID, интерфейс түрі (мысалы, виртуалды немесе көпірлік).
- Виртуалды машиналарды құрып, оларды тиісті виртуалды желілерге қосыңыз.
Командалық жол арқылы желі құру мысалы
oVirt жүйесінде виртуалды желілерді командалық жол арқылы да басқаруға болады:
# Веб-серверлер үшін жаңа желі құру
ovirt-engine-setup --add-network --name=web_network --vlan=100 --type=bridge
Бұл мысалда web_network атты желі мен 100 VLAN ID-мен желі құрылады.
3.2. Виртуалды машиналар арасындағы трафикті сүзу
Виртуалды желілерді құрғаннан кейін, виртуалды машиналар арасындағы трафикті басқару үшін файрвол ережелерін баптау қажет. Мысалы, виртуалды машиналар арасындағы қолжетімділікті шектеуге немесе тек белгілі бір IP-мекенжайларына қолжетімділікті рұқсат етуге болады.
- oVirt Engine интерфейсіне өтіп, Желілік интерфейстер қойындысын таңдаңыз.
- Әрбір виртуалды машина үшін тиісті желіні таңдап, қолжетімділік ережелерін орнатыңыз.
- Рұқсат етілген порттар, IP мекенжайлары және протоколдар сияқты параметрлерді баптаңыз.
Командалық жол арқылы файрволды баптау мысалы
Егер веб-сервер үшін тек 80 портқа қолжетімділікті рұқсат ету қажет болса, келесі iptables командасын пайдалануға болады:
# 192.168.1.10 IP мекенжайынан 80 портына ғана қолжетімділікті рұқсат ету
iptables -A INPUT -p tcp -s 192.168.1.10 --dport 80 -j ACCEPT
Хост деңгейінде фильтрацияны баптау үшін заманауи firewalld құралын да қолдануға болады.
firewalld арқылы баптау мысалы
# 80 портқа қолжетімділікті рұқсат ету
firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --reload
4. Виртуалды маршрутизаторлар мен файрволдар
Егер oVirt жүйесі виртуалды маршрутизаторларды пайдаланып желілерді бөлу үшін қолданылса, желілер арасындағы трафикті басқару үшін файрволды маршрутизатор деңгейінде баптау қажет. Мысалы, екі виртуалды желі арасындағы өзара әрекеттесуді қамтамасыз ету үшін виртуалды маршрутизаторды жасауға болады.
4.1. Виртуалды маршрутизаторды баптау
- oVirt Engine интерфейсіне өтіп, Маршрутизаторлар қойындысын ашыңыз.
- Жаңа маршрутизаторды жасап, қажетті параметрлерді енгізіңіз, мысалы, маршрутизатордың атауы, маршрутизатордың IP мекенжайы және қосылым түрі.
- Маршрутизаторды қажетті виртуалды желілермен байланыстырыңыз.
Командалық жол арқылы маршрутизаторды баптау мысалы
oVirt жүйесінде виртуалды маршрутизаторды ovs-vsctl командасы арқылы жасауға болады:
# Виртуалды маршрутизатор құру
ovs-vsctl add-br br0
ovs-vsctl add-port br0 eth0
Содан кейін маршрутизатор деңгейінде файрволды iptables командаларымен баптауға болады.
5. Виртуалды машиналар арасындағы трафикті оқшаулау
oVirt жүйесінде бір желі ішіндегі виртуалды машиналар арасындағы трафикті оқшаулауға болады. Мысалы, виртуалды машиналар арасындағы трафикті шектеуге немесе белгілі бір порттарға қолжетімділікті тек белгілі бір виртуалды машиналарға ғана рұқсат етуге болады.
5.1. iptables арқылы виртуалды машиналарды оқшаулау мысалы
Виртуалды машиналар арасындағы трафикті оқшаулап, тек белгілі бір портқа қолжетімділікті рұқсат ету үшін келесі командаларды қолдануға болады:
# Желідегі барлық виртуалды машиналар арасында байланысқа тыйым салу
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.1.0/24 -j DROP
# 192.168.1.10 IP мекенжайынан 80 портына қолжетімділікті рұқсат ету
iptables -A FORWARD -s 192.168.1.10 -p tcp --dport 80 -j ACCEPT
Бұл командалар 192.168.1.0/24 желісіндегі барлық виртуалды машиналар арасындағы байланысты шектейді, бірақ 192.168.1.10 IP мекенжайындағы виртуалды машина үшін тек 80 портына қолжетімділікті рұқсат етеді.
6. Қауіпсіздікті бақылау және аудит
Қауіпсіздік деңгейін жоғарылату үшін, файрволды дұрыс баптау ғана емес, сонымен қатар оқиғаларды үнемі бақылап отыру да өте маңызды. oVirt жүйесінде файлдар мен оқиғаларды тіркеу және қауіпсіздік туралы хабарламаларды баптауға болады.
6.1. iptables арқылы тіркеуді қосу
iptables арқылы тіркеуді қосу үшін келесі команданы қолдануға болады:
# Барлық кіріс пакеттерін тіркеу
iptables -A INPUT -j LOG --log-prefix "INPUT packet: "
6.2. Бақылау құралдарын пайдалану
Желілік трафикті бақылау және талдау үшін snort, nmap немесе suricata сияқты құралдарды пайдалануға болады. Бұл жүйелер oVirt қауіпсіздік жүйесімен интеграцияланып, шабуылдарды және аномальды әрекеттерді анықтауға көмектеседі.
7. Қорытынды
oVirt гипервизорында файрволды басқару тек трафикті сүзу ғана емес, сонымен қатар виртуалды инфрақұрылымның жалпы қауіпсіздігінің маңызды бөлігі болып табылады. Виртуалды машиналар мен хосттар деңгейінде файрволды дұрыс баптау, виртуалды желілер мен трафикті оқшаулау, сондай-ақ қауіпсіздікті бақылау — барлығы жүйені қорғауға көмектеседі. Командалық жол құралдарын пайдалану арқылы, мысалы, iptables немесе firewalld, қолжетімділік пен оқшаулауды икемді түрде баптап, виртуалды машиналар мен деректерді қорғау үшін максималды қауіпсіздікті қамтамасыз етуге болады.
| Реклама Google |
 |
Назар аударыңыз! Бұл мақала ресми құжат емес.Ақпаратты сақтықпен және сынақ ортасында пайдалану керек.
Заманауи сақтық көшірме жасау, репликациялау, деректерді синхрондау және төлемдік бағдарламадан қорғау жүйелерін құру туралы сұрақтарыңыз болса, қазіргі заманғы деректердің сақтық көшірмесін жасау және қалпына келтіру технологиялары бойынша кеңес алу үшін біздің компанияға хабарласыңыз . Біздің компанияның осы салада 20 жылдан астам тәжірибесі бар. |
||||
Қазақстандағы резервтік көшірудің ең жақсы он тәжірибесі
- Ubuntu 24 жүйесінде Docker контейнерлерін орнату және баптау
- Docker контейнерлерін Kubernetes құралдарымен резервтік көшіру және қалпына келтіру
- NFS-дискіні Docker контейнеріне қосу: Тәжірибелік терең зерттеу
- Bacula на oVirt: Орнату, баптау және тиімді пайдалану
- Zabbix на oVirt: Орнату, баптау және тиімді пайдалану
- Prometheus + Grafana на oVirt: Орнату және тиімді пайдалану
- oVirt Backup: Орнату, баптау және тиімді пайдалану
- oVirt жүйесінде Docker контейнерлері — терең шолу
- Kubernetes-ті oVirt-те орнату және баптау — терең шолу
- oVirt жүйесінде ManageIQ орнату және баптау: Толық нұсқаулық
