Implemente y administre de forma segura contenedores LXC en Ubuntu 14.04

Los contenedores LXC (contenedores Linux) son una característica del sistema operativo en Linux que se puede usar para ejecutar múltiples sistemas Linux aislados en un solo host.

Estas instrucciones lo guiarán a través de los pasos básicos de configuración del servidor para el alojamiento de contenedores de Linux aislados. Configuraremos las siguientes características:

  • Contenedores LXC con Ubuntu 14.
  • Configuración de red de Linux y reenvío de puertos para contenedores.
  • Reenvío SSH para la administración de contenedores tan simple como ssh [email protected]yssh [email protected]
  • Configuración de proxy Nginx para acceder a sitios web dentro de contenedores (por nombre de host).
  • Mejoras de seguridad adicionales para la gestión adecuada del servidor.

Esta guía asume que:

  • Tienes una cuenta en Vultr.com .
  • Sabe cómo configurar una máquina virtual con un ISO personalizado.
  • Usted sabe cómo usar las claves SSH y ya ha generado claves públicas y privadas.

Al final del tutorial, obtendremos dos contenedores virtuales que tendrán acceso a Internet, pero que no pueden hacer ping entre sí. También configuraremos el reenvío de puertos example.coma los contenedores. Implementaremos un panel de configuración y administración seguro con la ayuda de herramientas del paquete Proxmox.

Preparativos

Usaremos Proxmox solo para la administración de contenedores LXC. En general, también es compatible con KVM, pero la virtualización anidada está prohibida en Vultr. Antes de comenzar, se debe descargar un ISO de Proxmox del sitio web oficial. Usaremos el Proxmox VE 5.0 ISO Installer. Instale el sistema operativo desde la imagen con la configuración predeterminada y reinicie la máquina virtual. Además, puede instalar manualmente proxmox desde las fuentes, pero eso no es necesario en la mayoría de los casos (siga las instrucciones aquí ).

Configuración del sistema operativo

Conéctese a su host por SSH, actualice la lista de plantillas proxmox y descargue una plantilla adecuada para contenedores.

apt-get update
pveam update
pveam available
pveam download local ubuntu-14.04-standard_14.04-1_amd64.tar.gz

Ahora, necesitamos crear un contenedor de Linux con una interfaz de red conectada a un puente de Linux. Abra /etc/network/interfacesy agregue las siguientes líneas:

auto vmbr1
iface vmbr1 inet static
    address  10.100.0.1
    netmask  255.255.255.0
    bridge_ports none
    bridge_stp off
    bridge_fd 0

Después de reiniciar el sistema, puede crear un nuevo contenedor a partir de la Ubuntu 14.04plantilla.

pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.200/24,gw=10.100.0.1

Puede verificar su contenedor utilizando pct list, inicie el contenedor # 200 con pct start 200e ingrese su shell con pct enter 200. También puede verificar la configuración de red y las direcciones con ip addr.

Red

Para proporcionar conexión a Internet dentro de su contenedor, debemos habilitarlo NAT. Lo siguiente permitirá que el tráfico se reenvíe desde el contenedor a Internet con la ayuda de la tecnología NAT. El vmbr0puente está conectado a la interfaz externa y el vmbr1puente está conectado a los contenedores.

sysctl -w net.ipv4.ip_forward=1
iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
iptables --append FORWARD --in-interface vmbr1 -j ACCEPT

Ingrese el contenedor con pct enter 200y configure el servidor web dentro.

apt-get update
apt-get install nginx
service nginx start
exit

Ahora, necesitamos configurar Nginx en su servidor para proxy de sitios web en contenedores.

apt-get update
apt-get install nginx

Cree un nuevo archivo de configuración /etc/nginx/sites-available/box200con el siguiente contenido:

server {
    listen 80;
    server_name server200.example.com;

    proxy_set_header Host $http_host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $remote_addr;

    location / {
        proxy_pass http://10.100.0.200/;
    }
}

Nginx ahora enviará cada solicitud HTTP server200.example.comde su servidor al contenedor con IP 10.100.0.200. Activa esta configuración.

ln -s /etc/nginx/sites-available/box200 /etc/nginx/sites-enabled/
service nginx restart

Acceso SSH

Si desea proporcionar un acceso fácil a los entornos limitados, debe reenviar las sesiones SSH a los contenedores. Para hacerlo, cree un nuevo usuario en su servidor raíz. No olvide ingresar una contraseña, otros parámetros no son necesarios.

adduser box200
su - box200
ssh-keygen
cat .ssh/id_rsa.pub
exit

Copie esta clave SSH e ingrese el contenedor para agregar la clave.

pct enter 200
mkdir .ssh
nano .ssh/authorized_keys
exit

En su servidor, agregue la siguiente línea al .ssh/authorized_keysarchivo.

command="ssh [email protected]",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>

No olvide cambiar <YOUR SSH KEY>a la clave pública de su hogar. Alternativamente, puede ejecutar lo siguiente desde la línea de comandos.

echo 'command="ssh [email protected]",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>' >> .ssh/authorized_keys

Luego, puede conectarse a su sandbox con ssh.

`ssh box200@<your_server_IP>`

Ajustes adicionales

Es hora de implementar varias mejoras de seguridad. Primero, queremos cambiar el puerto SSH predeterminado. Entonces queremos proteger nuestra página de administración de Proxmox con autenticación HTTP básica.

nano /etc/ssh/sshd_config

Descomenta y cambia la línea

#Port 22 

a

Port 24000 

Reiniciar ssh.

service ssh restart

Vuelva a conectarse a ssh con el nuevo puerto.

ssh root@<your_IP> -p 24000

Establecer una contraseña de Proxmox.

Crear el archivo /etc/default/pveproxy.

ALLOW_FROM="127.0.0.1"
DENY_FROM="all"
POLICY="allow"

Reinicie pveproxypara que los cambios surtan efecto.

/etc/init.d/pveproxy restart

Configure nginx (si no lo ha hecho antes).

apt-get install nginx
service nginx restart

Cree una configuración predeterminada en /etc/nginx/site-available/default.

server {
        listen          80;
        server_name     example.com;
        rewrite         ^ https://$hostname.example.com$request_uri? permanent;
}
server {
        listen                   443 ssl;
        server_name              example.com;
        #auth_basic              "Restricted";
        #auth_basic_user_file    htpasswd;
        #location / { proxy_pass https://127.0.0.1:8006; }
}

Obtenga un certificado SSL válido y actualice su configuración nginx. Por ejemplo, se puede hacer con la ayuda de certbox y letsencrypt. Para más información, haga clic aquí .

wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
./certbot-auto --nginx

Ahora, su configuración nginx debería verse así (o puede cambiarla manualmente después). No olvide descomentar las líneas ssl, auth y location.

server {
    listen          80;
    server_name     example.com;
    rewrite         ^ https://$hostname.example.com$request_uri? permanent;
}

server {
        listen                  443 ssl;
        server_name             example.com;
        ssl on;
        auth_basic              "Restricted";
        auth_basic_user_file    htpasswd;
        location / { proxy_pass https://127.0.0.1:8006; }        

        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; # managed by Certbot
        ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; # managed by Certbot
}

Cree un /etc/htpasswdarchivo usando el generador Htpasswd .

nano /etc/nginx/htpasswd

Reiniciar Nginx

service nginx restart

Ahora puede ver la consola de administración https://example.comdespués de la autenticación básica.

Reenvío de puertos

Los contenedores ahora están disponibles mediante solicitudes HTTP y SSH. Ahora, podemos configurar el reenvío de puertos desde el servidor externo a los contenedores. Por ejemplo, para mapear example.com:8080para 10.100.0.200:3000ingresar lo siguiente.

iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 8080 -j DNAT --to 10.100.0.200:3000

Puede ver las reglas actuales.

`iptables -t nat -v -L PREROUTING -n --line-number`

También puede eliminar una regla por número con lo siguiente.

`iptables -t nat -D PREROUTING <#>`.

Contenedores Separados

Ahora podemos acceder a un contenedor desde otro.

pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.250/24,gw=10.100.0.1
pct start 250
pct enter 250
ping 10.100.0.200

Si desea restringir el acceso desde el contenedor 250 a 200, debe conectar cada contenedor a un puente personal y deshabilitar el reenvío entre puentes.

  1. Eliminar contenedores existentes.

    pct stop 200
    pct stop 250
    pct destroy 200
    pct destroy 250
    
  2. Cambiar el contenido de /etc/network/interfaces.

    auto vmbr1
    iface vmbr1 inet static
        address  10.100.1.1
        netmask  255.255.255.0
        bridge_ports none
        bridge_stp off
        bridge_fd 0
    
    auto vmbr2
    iface vmbr2 inet static
        address  10.100.2.1
        netmask  255.255.255.0
        bridge_ports none
        bridge_stp off
        bridge_fd 0
    
  3. reboot el sistema

  4. Habilitar reenvío

    `sysctl -w net.ipv4.ip_forward=1`
    

    Para hacer que estos cambios sean permanentes, puede editar el /etc/sysctl.confarchivo y encontrar el siguiente texto.

    #net.ipv4.ip_forward=1
    

    Descomentalo.

    net.ipv4.ip_forward=1
    

    También puede ejecutar sysctl -ppara que los cambios surtan efecto inmediatamente.

  5. Crea contenedores.

    pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.1.200/24,gw=10.100.1.1
    pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr2,ip=10.100.2.250/24,gw=10.100.2.1
    
  6. Comience los contenedores con pct start 200y pct start 250.

  7. Limpiar las iptablesreglas.

    iptables -F
    
  8. Habilitar NAT.

    iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
    

    vmbr0 es el puente que incluye la interfaz externa.

  9. Permitir reenvío desde la interfaz externa.

    iptables --append FORWARD --in-interface vmbr0 -j ACCEPT
    
  10. Permitir reenvío desde los contenedores a internet.

    iptables -A FORWARD -i vmbr1 -o vmbr0 -s 10.100.1.0/24 -j ACCEPT
    iptables -A FORWARD -i vmbr2 -o vmbr0 -s 10.100.2.0/24 -j ACCEPT
    
  11. Suelta el otro reenvío.

    iptables -A FORWARD -i vmbr1 -j DROP
    iptables -A FORWARD -i vmbr2 -j DROP
    

Ahora, compruebe que 10.100.1.200puede hacer ping 8.8.8.8pero no puede hacer ping 10.100.2.250y que 10.100.2.250puede hacer ping 8.8.8.8pero no puede hacer ping 10.100.1.200.

El orden de los comandos relacionados con iptables es importante. La mejor manera de operar sus reglas es usarlas iptables-persistent. Este paquete le ayuda a guardar las reglas de iptables en los archivos /etc/iptables/rules.v4y /etc/iptables/rules.v6puede cargarlas automáticamente después de reiniciar el sistema. Simplemente instálelo con lo siguiente.

apt-get install iptables-persistent

Seleccione YEScuando se le solicite.



Leave a Comment

Instalación de Docker en Ubuntu 14.04

Instalación de Docker en Ubuntu 14.04

¿Usando un sistema diferente? Docker es una aplicación que permite implementar programas que se ejecutan como contenedores. Fue escrito en el popular programa Go

Setup Sentry via Docker on Ubuntu 16.04

Setup Sentry via Docker on Ubuntu 16.04

Using a Different System? Introduction Sentry is an open source solution for error tracking. Sentry tracks exceptions and other useful messages fro

Instalar el servidor Rancher en RancherOS

Instalar el servidor Rancher en RancherOS

Descripción general RancherOS es un sistema operativo increíblemente liviano (solo unos 60 MB) que ejecuta un demonio Docker del sistema como PID 0 para ejecutar servicios del sistema

Cómo usar Docker: Creando tu primer contenedor Docker

Cómo usar Docker: Creando tu primer contenedor Docker

Este tutorial explica los conceptos básicos para comenzar a usar Docker. Supongo que ya tienes instalado Docker. Los pasos de este tutorial funcionarán en un

Balance de carga con Docker

Balance de carga con Docker

Al ejecutar una aplicación web, normalmente desea aprovechar al máximo sus recursos sin tener que convertir su software para usar subprocesos múltiples o

En CoreOS, configure su propio registro de Docker

En CoreOS, configure su propio registro de Docker

Todos conocemos y amamos Docker, una plataforma para crear, administrar y distribuir contenedores de aplicaciones en múltiples máquinas. Docker Inc. proporciona un servicio t

Create a Docker Swarm on Alpine Linux 3.9.0

Create a Docker Swarm on Alpine Linux 3.9.0

Introduction This guide will show you how to create and configure a Docker swarm using multiple Alpine Linux 3.9.0 servers and Portainer. Please be aware tha

Implemente una aplicación Node.js con Docker

Implemente una aplicación Node.js con Docker

Este artículo le mostrará cómo implementar su aplicación Node dentro de un contenedor Docker. Nota: Este tutorial asume que tienes Docker instalado y leído

Instalar Rancher OS a través de iPXE

Instalar Rancher OS a través de iPXE

Rancher OS es una distribución de Linux muy ligera construida alrededor de Docker. El sistema operativo en sí pesa alrededor de 20 MB. Este tutorial lo pondrá en funcionamiento con

Deploy Kubernetes With Kubeadm on CentOS 7

Deploy Kubernetes With Kubeadm on CentOS 7

Overview This article is meant to help you get a Kubernetes cluster up and running with kubeadm in no time. This guide will be deploying two servers, on

Instalación de docker-compose en CoreOS

Instalación de docker-compose en CoreOS

Este artículo explica cómo instalar docker-compose en CoreOS. En CoreOS, la carpeta / usr / es inmutable, por lo que la ruta estándar / usr / local / bin no está disponible para

Cómo instalar Harbor en CentOS 7

Cómo instalar Harbor en CentOS 7

Harbor es un servidor de registro de clase empresarial de código abierto que almacena y distribuye imágenes de Docker. Harbor extiende el código abierto Docker Distribution b

Install Docker CE on Ubuntu 18.04

Install Docker CE on Ubuntu 18.04

Introduction Docker is an application that allows us to deploy programs that are run as containers. It was written in the popular Go programming language

Comience con SQL Server 2017 (MS-SQL) en CentOS 7 con Docker

Comience con SQL Server 2017 (MS-SQL) en CentOS 7 con Docker

Requisitos previos Docker engine 1.8+. Mínimo de 4 GB de espacio en disco. Mínimo de 4 GB de RAM. Paso 1. Instalar Docker Para instalar SQL-Server, Docker mus

Comenzando con Kubernetes en CentOS 7

Comenzando con Kubernetes en CentOS 7

Kubernetes es una plataforma de código abierto desarrollada por Google para administrar aplicaciones en contenedores en un grupo de servidores. Se basa en una década y

Implemente una aplicación PHP usando Docker-compose

Implemente una aplicación PHP usando Docker-compose

Las aplicaciones PHP generalmente están compuestas por un servidor web, un sistema de base de datos relacional y el propio intérprete de idiomas. En este tutorial estaremos apalancando

Instalar Rancher en Ubuntu 16.04

Instalar Rancher en Ubuntu 16.04

¿Usando un sistema diferente? Introducción Rancher es una plataforma de código abierto para ejecutar contenedores y crear un servicio de contenedor privado. Ranchero es base

Sticky Session With Docker Swarm (CE) on Debian 9

Sticky Session With Docker Swarm (CE) on Debian 9

Using a Different System? Introduction Docker Swarm turns your individual servers into a cluster of computers; facilitating scaling, high-availability an

Instalación de Docker CE en CentOS 7

Instalación de Docker CE en CentOS 7

La tecnología de contenedores Docker le permite ejecutar aplicaciones en un entorno específico y aislado. Docker Community Edition (CE) es el nuevo nombre para el fre

Instalación de Docker CE en Debian 9

Instalación de Docker CE en Debian 9

¿Usando un sistema diferente? Introducción Docker es una aplicación que permite la implementación de software en contenedores virtuales. Fue escrito en el G

¿Puede la IA luchar con un número cada vez mayor de ataques de ransomware?

¿Puede la IA luchar con un número cada vez mayor de ataques de ransomware?

Los ataques de ransomware van en aumento, pero ¿puede la IA ayudar a lidiar con el último virus informático? ¿Es la IA la respuesta? Lea aquí, sepa que la IA es una bendición o una perdición

ReactOS: ¿Es este el futuro de Windows?

ReactOS: ¿Es este el futuro de Windows?

ReactOS, un sistema operativo de código abierto y gratuito, está aquí con la última versión. ¿Puede satisfacer las necesidades de los usuarios de Windows de hoy en día y acabar con Microsoft? Averigüemos más sobre este estilo antiguo, pero una experiencia de sistema operativo más nueva.

Manténgase conectado a través de la aplicación de escritorio WhatsApp 24 * 7

Manténgase conectado a través de la aplicación de escritorio WhatsApp 24 * 7

Whatsapp finalmente lanzó la aplicación de escritorio para usuarios de Mac y Windows. Ahora puede acceder a Whatsapp desde Windows o Mac fácilmente. Disponible para Windows 8+ y Mac OS 10.9+

¿Cómo puede la IA llevar la automatización de procesos al siguiente nivel?

¿Cómo puede la IA llevar la automatización de procesos al siguiente nivel?

Lea esto para saber cómo la Inteligencia Artificial se está volviendo popular entre las empresas de pequeña escala y cómo está aumentando las probabilidades de hacerlas crecer y dar ventaja a sus competidores.

La actualización complementaria de macOS Catalina 10.15.4 está causando más problemas que resolver

La actualización complementaria de macOS Catalina 10.15.4 está causando más problemas que resolver

Recientemente, Apple lanzó macOS Catalina 10.15.4, una actualización complementaria para solucionar problemas, pero parece que la actualización está causando más problemas que conducen al bloqueo de las máquinas Mac. Lee este artículo para obtener más información

13 Herramientas comerciales de extracción de datos de Big Data

13 Herramientas comerciales de extracción de datos de Big Data

13 Herramientas comerciales de extracción de datos de Big Data

¿Qué es un sistema de archivos de diario y cómo funciona?

¿Qué es un sistema de archivos de diario y cómo funciona?

Nuestra computadora almacena todos los datos de una manera organizada conocida como sistema de archivos de diario. Es un método eficiente que permite a la computadora buscar y mostrar archivos tan pronto como presiona buscar.

Singularidad tecnológica: ¿un futuro lejano de la civilización humana?

Singularidad tecnológica: ¿un futuro lejano de la civilización humana?

A medida que la ciencia evoluciona a un ritmo rápido, asumiendo muchos de nuestros esfuerzos, también aumentan los riesgos de someternos a una singularidad inexplicable. Lea, lo que la singularidad podría significar para nosotros.

Una mirada a 26 técnicas analíticas de Big Data: Parte 1

Una mirada a 26 técnicas analíticas de Big Data: Parte 1

Una mirada a 26 técnicas analíticas de Big Data: Parte 1

El impacto de la inteligencia artificial en la atención médica 2021

El impacto de la inteligencia artificial en la atención médica 2021

La IA en la salud ha dado grandes pasos desde las últimas décadas. Por tanto, el futuro de la IA en el sector sanitario sigue creciendo día a día.