Hallo,
ich habe beruflich viel mit Virtualisierung, Routing, Firewall, Remotezugänge und ähnlichem zu tun.
Eines meiner letzten Projekte ist vielleicht für den einen, anderen auch interessant, der schon immer mal ähnliches umsetzen wollte, aber nicht den richtigen Ansatz fand.
Gesucht war ein "neuer Standort", an dem einige unserer angebotenen Dienste gehostet werden.
Rausgekommen ist folgendes, auf einem normalem gehostetem Server im Internet (ca. 70€/Monat) , mit 4 Cores, 32 GB RAM, 2 TB Raid1, KVM Switch.
[Blocked Image: http://img4web.com/i/VQKK2.gif]
Wichtig ist ein KVM Switch (over IP). Dieser gewährleistet bei der Einrichtung des Hypervisors ESXi free und im Fehlerfall den Zugriff auf das komplette System.
Es gibt das externe Netzwerk "INTERNET" und mehrere interne Netzwerke "PROTECTEDN". Im Prinzip ähnlich, wie auch unsere "echten" Standorte aufgebaut sind.
Um möglichst flexibel und erweiterungsfähig vorbereitet für voneinander abgeschottete Anwendungen zu sein, laufen die internen Netzwerke PROTECTEDN jeweills in einem eigenen, isolierten Sicherheitskontext.
Im Netzwerk INTERNET hängt nur die VM firewall (eigenes iptables Skript). Sie verbindet die internen Netzwerke PROTECTEDN (mit privaten Adressen) mit dem Internet und untereinander und lässt nur konfigurierte Verbindungen (iptables) zu.
Auf der VM firewall läuft gleichzeitig OpenVPN, über einen OpenVPN-Tunnel ist der volle Zugriff auf die internen Netzwerke PROTECTEDN möglich. So, unter anderem auf PROTECTED1, wo die ESXi Konsole läuft.
Alle verfügbaren Internet IPs werden der Firewall zugewiesen, via Portforwarding auf die VMs regelt sie den Zugriff auf die für's Internet angebotenen Dienste.
Im DNS verweisen alle benötigten Namen auf die IP-Adresse(n) der VM firewall.
Das Konzept kann flexibel ausgebaut werden, ist mandantenfähig oder auch "freundefähig", man könnte sich mit ein paar Freunden die Ressourcen eines Host teilen.
Gruß,
wla