Menyebarkan dan Mengurus Kontena LXC dengan selamat di Ubuntu 14.04

• Persediaan
• Persediaan OS
• Rangkaian
• Akses SSH
• Tetapan Tambahan
• Penghantaran Pelabuhan
• Bekas Berasingan

Wadah LXC (wadah Linux) adalah ciri sistem operasi di Linux yang dapat digunakan untuk menjalankan beberapa sistem Linux terpencil pada satu host.

Arahan ini akan memandu anda melalui langkah asas konfigurasi pelayan untuk hosting kontena Linux terpencil. Kami akan mengkonfigurasi ciri berikut:

• Bekas LXC dengan Ubuntu 14.
• Tetapan rangkaian Linux dan pemajuan port untuk kontena.
• Penerusan SSH untuk pentadbiran kontena semudah ssh [email protected]danssh [email protected]
• Konfigurasi proksi Nginx untuk mengakses laman web di dalam bekas (dengan nama host).
• Penambahbaikan keselamatan tambahan untuk pengurusan pelayan yang betul.

Panduan ini mengandaikan bahawa:

• Anda mempunyai akaun di Vultr.com .
• Anda tahu bagaimana mengkonfigurasi mesin maya dengan ISO tersuai.
• Anda tahu bagaimana menggunakan kunci SSH dan anda telah menghasilkan kunci awam dan peribadi.

Pada akhir tutorial, kita akan mendapat dua bekas maya yang akan mempunyai akses ke internet, tetapi tidak dapat saling berpasangan. Kami juga akan mengkonfigurasi pemajuan port dari example.comkontena. Kami akan menggunakan panel konfigurasi dan pengurusan yang selamat dengan bantuan alat dari paket Proxmox.

Persediaan

Kami akan menggunakan Proxmox hanya untuk pengurusan kontena LXC. Secara amnya, ia juga menyokong KVM, tetapi virtualisasi bersarang dilarang di Vultr. Sebelum memulakan, Proxmox ISO harus dimuat turun dari laman web rasmi. Kami akan menggunakan Proxmox VE 5.0 ISO Installer. Pasang OS dari gambar dengan tetapan lalai dan but semula mesin maya. Anda juga boleh memasang proxmox secara manual dari sumber, tetapi itu tidak diperlukan dalam kebanyakan kes (ikuti arahan di sini ).

Persediaan OS

Sambungkan ke hos anda dengan SSH, kemas kini senarai templat proxmox dan muat turun templat yang sesuai untuk bekas.

apt-get update
pveam update
pveam available
pveam download local ubuntu-14.04-standard_14.04-1_amd64.tar.gz

Sekarang, kita perlu membuat wadah linux dengan antara muka rangkaian yang disambungkan ke jambatan linux. Buka /etc/network/interfacesdan tambahkan baris berikut:

auto vmbr1
iface vmbr1 inet static
    address  10.100.0.1
    netmask  255.255.255.0
    bridge_ports none
    bridge_stp off
    bridge_fd 0

Selepas sistem reboot, anda boleh membuat bekas baru dari Ubuntu 14.04templat.

pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.200/24,gw=10.100.0.1

Anda boleh mengesahkan bekas anda menggunakan pct list, mulakan bekas # 200 dengan pct start 200dan masukkan cangkangnya dengan pct enter 200. Anda juga dapat mengesahkan tetapan dan alamat rangkaian dengan ip addr.

Rangkaian

Untuk menyediakan sambungan internet di dalam bekas anda, kami perlu mengaktifkannya NAT. Berikut ini akan membolehkan lalu lintas dihantar dari kontena ke internet dengan bantuan teknologi NAT. The vmbr0jambatan disambungkan ke antara muka luar dan vmbr1jambatan adalah dihubungkan dengan bekas.

sysctl -w net.ipv4.ip_forward=1
iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
iptables --append FORWARD --in-interface vmbr1 -j ACCEPT

Masukkan bekas dengan pct enter 200dan konfigurasikan pelayan web di dalamnya.

apt-get update
apt-get install nginx
service nginx start
exit

Sekarang, kita perlu mengkonfigurasi Nginx di pelayan anda agar laman web proksi menjadi wadah.

apt-get update
apt-get install nginx

Buat fail konfigurasi baru /etc/nginx/sites-available/box200dengan kandungan berikut:

server {
    listen 80;
    server_name server200.example.com;

    proxy_set_header Host $http_host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $remote_addr;

    location / {
        proxy_pass http://10.100.0.200/;
    }
}

Nginx kini akan server200.example.commemproksi setiap permintaan HTTP dari pelayan anda ke wadah dengan IP 10.100.0.200. Aktifkan konfigurasi ini.

ln -s /etc/nginx/sites-available/box200 /etc/nginx/sites-enabled/
service nginx restart

Akses SSH

Sekiranya anda ingin memberikan akses mudah ke kotak pasir, anda perlu meneruskan sesi SSH ke dalam bekas. Untuk melakukannya, buat pengguna baru di pelayan root anda. Jangan lupa memasukkan kata laluan, parameter lain tidak diperlukan.

adduser box200
su - box200
ssh-keygen
cat .ssh/id_rsa.pub
exit

Salin kunci SSH ini dan masukkan bekas untuk menambahkan kunci.

pct enter 200
mkdir .ssh
nano .ssh/authorized_keys
exit

Pada pelayan anda, tambahkan baris berikut ke .ssh/authorized_keysfail.

command="ssh [email protected]",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>

Jangan lupa menukar <YOUR SSH KEY>kunci awam rumah anda. Sebagai alternatif, anda boleh menjalankan yang berikut dari baris arahan.

echo 'command="ssh [email protected]",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>' >> .ssh/authorized_keys

Kemudian, anda boleh menyambung ke kotak pasir anda dengan ssh.

`ssh box200@<your_server_IP>`

Tetapan Tambahan

Sudah tiba masanya untuk melaksanakan beberapa peningkatan keselamatan. Pertama, kami mahu menukar port SSH lalai. Kemudian kami ingin melindungi halaman pengurusan Proxmox kami dengan pengesahan HTTP asas.

nano /etc/ssh/sshd_config

Ketidakpuasan dan ubah garis

#Port 22 

kepada

Port 24000 

Mulakan semula ssh.

service ssh restart

Sambung semula ke ssh dengan port baru.

ssh root@<your_IP> -p 24000

Tetapkan kata laluan Proxmox.

Buat fail /etc/default/pveproxy.

ALLOW_FROM="127.0.0.1"
DENY_FROM="all"
POLICY="allow"

Mulakan semula pveproxyuntuk perubahan berlaku.

/etc/init.d/pveproxy restart

Konfigurasikan nginx (jika anda belum melakukannya sebelumnya).

apt-get install nginx
service nginx restart

Buat konfigurasi lalai di /etc/nginx/site-available/default.

server {
        listen          80;
        server_name     example.com;
        rewrite         ^ https://$hostname.example.com$request_uri? permanent;
}
server {
        listen                   443 ssl;
        server_name              example.com;
        #auth_basic              "Restricted";
        #auth_basic_user_file    htpasswd;
        #location / { proxy_pass https://127.0.0.1:8006; }
}

Dapatkan sijil SSL yang sah dan kemas kini konfigurasi nginx anda. Sebagai contoh, ia boleh dilakukan dengan bantuan kotak sertifikat dan letsencrypt. Untuk maklumat lebih lanjut, klik di sini .

wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
./certbot-auto --nginx

Sekarang, konfigurasi nginx anda akan kelihatan seperti ini (atau anda boleh menukarnya secara manual selepasnya). Jangan lupa untuk melucutkan garis panduan ssl, auth dan lokasi.

server {
    listen          80;
    server_name     example.com;
    rewrite         ^ https://$hostname.example.com$request_uri? permanent;
}

server {
        listen                  443 ssl;
        server_name             example.com;
        ssl on;
        auth_basic              "Restricted";
        auth_basic_user_file    htpasswd;
        location / { proxy_pass https://127.0.0.1:8006; }        

        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; # managed by Certbot
        ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; # managed by Certbot
}

Buat /etc/htpasswdfail menggunakan penjana Htpasswd .

nano /etc/nginx/htpasswd

Mulakan semula Nginx

service nginx restart

Anda kini dapat melihat konsol pengurusan https://example.comsetelah pengesahan asas.

Penghantaran Pelabuhan

Bekas kini boleh didapati dengan permintaan HTTP dan SSH. Sekarang, kita dapat mengkonfigurasi pemajuan port dari pelayan luaran ke kontena. Sebagai contoh, untuk pemetaan example.com:8080untuk 10.100.0.200:3000memasukkan perkara berikut.

iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 8080 -j DNAT --to 10.100.0.200:3000

Anda boleh melihat peraturan semasa.

`iptables -t nat -v -L PREROUTING -n --line-number`

Anda juga boleh menghapus peraturan berdasarkan nombor dengan yang berikut.

`iptables -t nat -D PREROUTING <#>`.

Bekas Berasingan

Kita sekarang boleh mengakses satu bekas dari yang lain.

pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.250/24,gw=10.100.0.1
pct start 250
pct enter 250
ping 10.100.0.200

Sekiranya anda ingin menyekat akses dari kontena 250 hingga 200, anda perlu menyambungkan setiap kontena ke jambatan peribadi dan melumpuhkan pemajuan antara jambatan.

1. Padamkan bekas yang ada.

   pct stop 200
   pct stop 250
   pct destroy 200
   pct destroy 250
   

2. Tukar kandungan /etc/network/interfaces.

   auto vmbr1
   iface vmbr1 inet static
       address  10.100.1.1
       netmask  255.255.255.0
       bridge_ports none
       bridge_stp off
       bridge_fd 0
   
   auto vmbr2
   iface vmbr2 inet static
       address  10.100.2.1
       netmask  255.255.255.0
       bridge_ports none
       bridge_stp off
       bridge_fd 0
   

3. reboot sistem

4. Dayakan pemajuan

   `sysctl -w net.ipv4.ip_forward=1`
   

   Untuk menjadikan perubahan ini kekal, anda boleh mengedit /etc/sysctl.conffail dan mencari teks berikut.

   #net.ipv4.ip_forward=1
   

   Tidak berjaya.

   net.ipv4.ip_forward=1
   

   Anda juga dapat berjalan sysctl -puntuk membuat perubahan segera berlaku.

5. Buat bekas.

   pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.1.200/24,gw=10.100.1.1
   pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr2,ip=10.100.2.250/24,gw=10.100.2.1
   

6. Mulakan bekas dengan pct start 200dan pct start 250.

7. Siram iptablesperaturan.

   iptables -F
   

8. Dayakan NAT.

   iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
   

   vmbr0 adalah jambatan yang merangkumi antara muka luaran.

9. Benarkan pemajuan dari antara muka luaran.

   iptables --append FORWARD --in-interface vmbr0 -j ACCEPT
   

10. Benarkan penghantaran dari kontena ke internet.

    iptables -A FORWARD -i vmbr1 -o vmbr0 -s 10.100.1.0/24 -j ACCEPT
    iptables -A FORWARD -i vmbr2 -o vmbr0 -s 10.100.2.0/24 -j ACCEPT
    

11. Turunkan pemajuan yang lain.

    iptables -A FORWARD -i vmbr1 -j DROP
    iptables -A FORWARD -i vmbr2 -j DROP
    

Sekarang, periksa yang 10.100.1.200boleh ping 8.8.8.8tetapi tidak boleh ping 10.100.2.250dan yang 10.100.2.250boleh ping 8.8.8.8tetapi tidak dapat ping 10.100.1.200.

Urutan perintah yang berkaitan dengan iptables adalah penting. Kaedah terbaik untuk mengendalikan peraturan anda adalah dengan menggunakan iptables-persistent. Pakej ini membantu anda untuk menjimatkan iptables kaedah-kaedah untuk fail /etc/iptables/rules.v4dan /etc/iptables/rules.v6dan ia boleh secara automatik memuatkan mereka selepas sistem reboot. Pasang sahaja dengan yang berikut.

apt-get install iptables-persistent

Pilih YESapabila diminta.