Вы находитесь на странице: 1из 12

Руководство по администрированию

системы маршрутизации основанной


на виртуальных серверах.

Содержание

1.Введение ............................................................................................. II
1.1. Требования к системе............................................................. III
1.2. О системе виртуальной маршрутизации
1.3. Установка
2.Структура системы
2.1. Составные части
2.2. Proxmox Virtual Environment
2.3. Виртуальные серверы
2.4. Локальная сеть
2.5. Демилитаризованная зона
2.6. Маршрутизация
2.7. Мониторинг
2.8. SSH администрирование
3.Настройка системы
3.1. Настройка маршрутизации
3.2. Клиентский доступ
3.3. Внутренние сервисы
3.4. Правила DMZ
3.4. Добавление SSH доступа
3.5. Добавление системы для мониторинга
4. Инструменты
4.1. Подготовленные скрипты
4.2. Примеры
5.Производительность системы
5.1. Параметры Тестирования
5.2. результаты
6.План внедрения

! I
1. Введение
! Данное руководство предназначено для администрирования и
ознакомления с организацией виртуальной маршрутизации на
основе системой ProxMox. В руководстве описаны возможности
управления, основные настройки и способы работы с ней.

Во введении дана информация о системе маршрутизации, описаны


технические требования и принципы работы, а также даны
рекомендации по подключению новых сервисов.

Для быстрого ознакомления с основными приемами работы с


наиболее важными элементами системы перейдите к разделу "С
чего начать", где приведены пошаговые инструкции к подключению
новых сервисов и их безопасной настройке.

Основная информация о функционировании системы приведена в


разделе "Скрипты", где подробно описаны разработынные средства
настройки системы. Дополнительные сведения, необходимые для
настройки взаимодействия систем, приведены в разделе
"Настройка новых сервисов".

Справочную информацию вы можете найти в разделах "Термины и


определения" и "Предметный указатель".

! II
1.1. Требования к системе
•Безопастность
! Реализуется благодяря политике исключения входящих
пакетов совместно с организацией демилитаризованная зоны
(DMZ зоны) штатными средствами - iptables.

•Маштабируемость
! Возможность добавление и управление внутренними
сервисами и натройками прав доступа к ним.

•Простота в настройке
! Основная настройка главных параметров и скриптов
фильтрации на виртуальных маршрутизаторах и осуществляется
через отдельный SSH сервер.

•Надежность
! Возможность создания резервной копии любой виртуальной
системы работающей в среде Proxmox.

•Мобильность
! Сконфигурированный сервер обладает полными свойствами
уже развернутой системы и для внедрения нуждается лишь в
подключении к сети.

•Мониторинг
! Система мониторинга Munin позволяет быстро и без лишних
инструментов оценить нагрузку как системы полностью так и
подключенных к ней виртуальных маршрутизаторов и сервисов
через web-интерфейс.

! III
1.2. О системе виртуальной маршрутизации
Система представляет собой серверный компьютер подключенный
к интернету, пользовательские сервисы установленные на
виртуальных машиных и компьютеры в локальной сети.
На виртуальной машине каждый сервис установлен на отдельной
машине и использует свой интерфейс (WEB, SSH, MySQL, Mail,
FTP, Proxy, DNS...), возможности и параметры сервисов
настраиваются администратором системы.
Со стороны локальной сети любой пользователь может
подключиться к интернету через виртуальный маршрутизатор и к
любому разрешенному внутреннему сервису.
Со стороны интернета не доступно ничего кроме сервиса SSH и
мониторинга для нужд администрирования всей системы.
Все настройки маршрутизации и филитрации пакетов хранятся
на основном маршрутизаторе и доступны для редактирования
посредством SSH через специальный сервис.

! IV
1.3. Технические требования

Сервер
•Операционная сисема Proxmox VE
•64-битный процессор (Intel EMT64 or AMD64)
•поддержка инструкций аппаратной виртуализации,
желательно Intel VT/AMD-V CPU/Mainboard (для использования
KVM Full Virtualization)
•Минимум 1 Гб ОЗУ
•Сетевая карта

Виртуальные маршрутизаторы
•Операционная сисема Ubuntu Server >= 10.04
•openssh-server - с зависимостями
•vlan package
•Bash Unix shell

Виртуальные сервисы
•Любая операционная система (Unix, Linux, Windows, Mac OS)

Локальные машины
•Любая операционная система (Unix, Linux, Windows, Mac OS)

! V
2. Структура системы
Система состоит из взаимодействующий друг с другом
виртуальных машин, осуществляющих доступ к ресурсам или
управляющие правилами маршрутизации.Можно выделить
следующие основные части, сгрупированные по функциональности.
Сервисы
• созданны администратором
• каждая сисема - отдельный сервис
• доступны из внутренней сети
• каждый сервис на отдельной виртуальной машине
• изолированны от других сервисов
Демилитаризованная зона
• политика “запрещено все что не разрешено”
• DROP на входящие пакеты
• фильтрация инструментом iptables
Внутренние Маршрутизаторы
• пробрасывание портов инструментом iptables
• тегирование пакетов (технология Vlan)
SSH доступ
• доступен из интернета
• шифрование с открытым ключом
• предоставляет SSH доступ ко всем
маршрутизаторам
Локальная сеть
• подключение клиентского компьютер к интернету с
минимальным колличеством настроек
• доступ к внутренним сервисам (оптимально
эффективный)

! VI
2.1. Составные части системы

На рисунке 1 приведена схема спроектированной сети,

Рисунок 1. - Схема сети

На схеме выделены три зоны:


•Красная зона - физическая серверная машина с системой Proxmox.
Имеет связь с интернетом и внутрнней локальной сетью, включает в себя
зону внутренних сервисов (Желтая зона).
•Желтая зона - состоит из виртуальных машин изолированных друг от
друга правилами центрального маршрутизатора.
•Синяя зона - локальная сеть из самостоятельных компьютеров.

! VII
2.2. Proxmox Virtual Environment
! Proxmox VE это специализированный Linux-дистрибутив на базе
Debian/GNU Linux, нацеленный на развертывание виртуальных
серверов на базе OpenVZ и KVM. Распространяется под лицензией
GPLv2, разрабатываемая Proxmox Server Solutions GmbH
поддерживаемая и финансируемая Internet Foundation Austria (IPA).

•Управляется через web-интерфейс


•Библиотека libvirt
•Браузерный VNC-клиент для управление вирутальными машинами
(требует JRE).

•Наличие кластеризация( позволяет переносить живые виртуальные


машины между физическими хостами).

•Средства бэкапа (позволяют бэкапить любую из виртуальных


машин).

! VIII
2.3. Виртуальные серверы
2.4. Локальная сеть
2.5. Демилитаризованная зона
2.6. Маршрутизация
Карта внутренней сети
Тут про Ip и пробросы

! IX
2.7. Мониторинг
Для мониторинга используется инструмент Munin. Этот
инструмент существует под *NIX (Linux, xBSD, Solaris) и Windows и
позволяет централизовано отслеживать и наглядно отображать
состояние систем.

•Управляется через web-интерфейс

•следует идеология RRDTool (сохраняет данные по «карусельному»


типу)

•Наглядность статистики (День/Неделя/Месяц/Год)

•Имеет разделение на серверную и клиентскую часть

•Позволяет следить за несколькими системами

•Обладает гибкой настройкой

•Имеет подключаемые модули

•Встроенная система безопасности

Munin состоит из двух раздельных частей. Первая — это


программа-сервер (munin-server) — он опрашивает клиентов, хранит
базу и рисует графики. Вторая — клиент (munin-node). Соединение с
клиентом всегда инициирует сервер (запускается по cron). При
запуске сервер читает конфиг со списком адресов клиентов,
обращается к каждому клиенту (порт — 4949/tcp), получает список
возможных параметров, после чего — по списку — значения
параметров. Полученые данные загружаются в RRD-файлы (если
таковых нет — сервер их создаст).
Клиент — это постоянно находящийся в памяти демон.
Написан он на perl, единственный способ авторизации — IP, с
которого инициируется соединение. Сам демон ничего не знает о
системе, в которой находится. Данные, которые клиент отдает
серверу, он получает от плагинов-программ, которые
последовательно запускает.

! X
2.7. SSH администрирование

! XI
3. Настройка системы
3.1. Настройка маршрутизации
3.2. Клиентский доступ
3.3. Внутренние сервисы
3.4. Правила DMZ
3.4. Добавление SSH доступа
3.5. Добавление системы для мониторинга

4. Инструменты
4.1. Подготовленные скрипты
4.2. Примеры

5. Производительность системы
5.1. Параметры Тестирования
5.2. результаты

6.План внедрения

! XII