Безопасное развертывание и управление контейнерами LXC в Ubuntu 14.04

• Препараты
• Настройка ОС
• сеть
• Доступ по SSH
• Дополнительные настройки
• Перенаправление порта
• Отдельные контейнеры

Контейнеры LXC (контейнеры Linux) - это функция операционной системы Linux, которую можно использовать для запуска нескольких изолированных систем Linux на одном хосте.

Эти инструкции проведут вас через основные этапы настройки сервера для размещения изолированных контейнеров Linux. Мы настроим следующие функции:

• Контейнеры LXC с Ubuntu 14.
• Сетевые настройки Linux и переадресация портов для контейнеров.
• SSH перенаправление для администрирования контейнеров так же просто, как ssh [email protected]иssh [email protected]
• Конфигурация прокси Nginx для доступа к веб-сайтам внутри контейнеров (по имени хоста).
• Дополнительные улучшения безопасности для правильного управления сервером.

Это руководство предполагает, что:

• У вас есть аккаунт на Vultr.com .
• Вы знаете, как настроить виртуальную машину с пользовательским ISO.
• Вы знаете, как использовать ключи SSH, и вы уже сгенерировали открытый и закрытый ключи.

В конце урока мы получим два виртуальных контейнера, которые будут иметь доступ к Интернету, но не могут пропинговать друг друга. Мы также настроим переадресацию портов из example.comконтейнеров. Мы развернем безопасную конфигурацию и панель управления с помощью инструментов из пакета Proxmox.

Препараты

Мы будем использовать Proxmox только для управления контейнерами LXC. Как правило, он также поддерживает KVM, но вложенная виртуализация на Vultr запрещена. Перед запуском Proxmox ISO необходимо загрузить с официального сайта. Мы будем использовать Proxmox VE 5.0 ISO Installer. Установите ОС из образа с настройками по умолчанию и перезагрузите виртуальную машину. Кроме того, вы можете вручную установить Proxmox из источников, но это не является необходимым в большинстве случаев (следуйте инструкциям здесь ).

Настройка ОС

Подключитесь к вашему хосту по SSH, обновите список шаблонов proxmox и загрузите подходящий шаблон для контейнеров.

apt-get update
pveam update
pveam available
pveam download local ubuntu-14.04-standard_14.04-1_amd64.tar.gz

Теперь нам нужно создать контейнер Linux с сетевым интерфейсом, подключенным к мосту Linux. Откройте /etc/network/interfacesи добавьте следующие строки:

auto vmbr1
iface vmbr1 inet static
    address  10.100.0.1
    netmask  255.255.255.0
    bridge_ports none
    bridge_stp off
    bridge_fd 0

После перезагрузки системы вы можете создать новый контейнер из Ubuntu 14.04шаблона.

pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.200/24,gw=10.100.0.1

Вы можете проверить свой контейнер, используя pct list, запустить контейнер # 200 с pct start 200и войти в его оболочку с pct enter 200. Вы также можете проверить настройки сети и адреса с помощью ip addr.

сеть

Чтобы обеспечить подключение к Интернету внутри вашего контейнера, нам нужно включить NAT. Следующее позволит перенаправлять трафик из контейнера в Интернет с помощью технологии NAT. vmbr0Мост подключен к внешнему интерфейсу , и vmbr1мост соединен с контейнерами.

sysctl -w net.ipv4.ip_forward=1
iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
iptables --append FORWARD --in-interface vmbr1 -j ACCEPT

Введите контейнер с pct enter 200и настройте веб-сервер внутри.

apt-get update
apt-get install nginx
service nginx start
exit

Теперь нам нужно настроить Nginx на вашем сервере для прокси-сайтов в контейнеры.

apt-get update
apt-get install nginx

Создайте новый файл конфигурации /etc/nginx/sites-available/box200со следующим содержимым:

server {
    listen 80;
    server_name server200.example.com;

    proxy_set_header Host $http_host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $remote_addr;

    location / {
        proxy_pass http://10.100.0.200/;
    }
}

Теперь Nginx будет передавать каждый HTTP-запрос server200.example.comс вашего сервера в контейнер с IP-адресом 10.100.0.200. Активируйте эту конфигурацию.

ln -s /etc/nginx/sites-available/box200 /etc/nginx/sites-enabled/
service nginx restart

Доступ по SSH

Если вы хотите обеспечить легкий доступ к песочницам, вам нужно перенаправить сеансы SSH в контейнеры. Для этого создайте нового пользователя на вашем корневом сервере. Не забудьте ввести пароль, другие параметры не обязательны.

adduser box200
su - box200
ssh-keygen
cat .ssh/id_rsa.pub
exit

Скопируйте этот ключ SSH и введите контейнер, чтобы добавить ключ.

pct enter 200
mkdir .ssh
nano .ssh/authorized_keys
exit

На вашем сервере добавьте следующую строку в .ssh/authorized_keysфайл.

command="ssh [email protected]",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>

Не забудьте поменять <YOUR SSH KEY>на свой домашний открытый ключ. Кроме того, вы можете запустить следующее из командной строки.

echo 'command="ssh [email protected]",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>' >> .ssh/authorized_keys

Затем вы можете подключиться к своей песочнице с помощью ssh.

`ssh box200@<your_server_IP>`

Дополнительные настройки

Настало время реализовать несколько улучшений безопасности. Во-первых, мы хотим изменить порт SSH по умолчанию. Затем мы хотим защитить нашу страницу управления Proxmox базовой HTTP-аутентификацией.

nano /etc/ssh/sshd_config

Раскомментируйте и измените строку

#Port 22 

в

Port 24000 

Перезапустите SSH.

service ssh restart

Переподключитесь к ssh с новым портом.

ssh root@<your_IP> -p 24000

Установите пароль Proxmox.

Создать файл /etc/default/pveproxy.

ALLOW_FROM="127.0.0.1"
DENY_FROM="all"
POLICY="allow"

Перезапустите, pveproxyчтобы изменения вступили в силу.

/etc/init.d/pveproxy restart

Настройте nginx (если вы еще этого не сделали).

apt-get install nginx
service nginx restart

Создайте конфигурацию по умолчанию в /etc/nginx/site-available/default.

server {
        listen          80;
        server_name     example.com;
        rewrite         ^ https://$hostname.example.com$request_uri? permanent;
}
server {
        listen                   443 ssl;
        server_name              example.com;
        #auth_basic              "Restricted";
        #auth_basic_user_file    htpasswd;
        #location / { proxy_pass https://127.0.0.1:8006; }
}

Получите действительный сертификат SSL и обновите конфигурацию nginx. Например, это можно сделать с помощью certbox и letsencrypt. Для получения дополнительной информации, нажмите здесь .

wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
./certbot-auto --nginx

Теперь ваша конфигурация nginx должна выглядеть так (или вы можете изменить ее вручную). Не забудьте раскомментировать строки ssl, auth и location.

server {
    listen          80;
    server_name     example.com;
    rewrite         ^ https://$hostname.example.com$request_uri? permanent;
}

server {
        listen                  443 ssl;
        server_name             example.com;
        ssl on;
        auth_basic              "Restricted";
        auth_basic_user_file    htpasswd;
        location / { proxy_pass https://127.0.0.1:8006; }        

        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; # managed by Certbot
        ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; # managed by Certbot
}

Создайте /etc/htpasswdфайл с помощью генератора Htpasswd .

nano /etc/nginx/htpasswd

Перезапустите Nginx

service nginx restart

Теперь вы можете просматривать консоль управления https://example.comпосле базовой аутентификации.

Перенаправление порта

Контейнеры теперь доступны по HTTP-запросам и SSH. Теперь мы можем настроить переадресацию портов с внешнего сервера на контейнеры. Например, для отображения example.com:8080на 10.100.0.200:3000вход следующего.

iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 8080 -j DNAT --to 10.100.0.200:3000

Вы можете просмотреть текущие правила.

`iptables -t nat -v -L PREROUTING -n --line-number`

Вы также можете удалить правило по номеру с помощью следующего.

`iptables -t nat -D PREROUTING <#>`.

Отдельные контейнеры

Теперь мы можем получить доступ к одному контейнеру из другого.

pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.250/24,gw=10.100.0.1
pct start 250
pct enter 250
ping 10.100.0.200

Если вы хотите ограничить доступ от контейнера 250 до 200, вам необходимо подключить каждый контейнер к личному мосту и отключить пересылку между мостами.

1. Удалить существующие контейнеры.

   pct stop 200
   pct stop 250
   pct destroy 200
   pct destroy 250
   

2. Изменить содержание /etc/network/interfaces.

   auto vmbr1
   iface vmbr1 inet static
       address  10.100.1.1
       netmask  255.255.255.0
       bridge_ports none
       bridge_stp off
       bridge_fd 0
   
   auto vmbr2
   iface vmbr2 inet static
       address  10.100.2.1
       netmask  255.255.255.0
       bridge_ports none
       bridge_stp off
       bridge_fd 0
   

3. reboot система

4. Включить пересылку

   `sysctl -w net.ipv4.ip_forward=1`
   

   Чтобы сделать эти изменения постоянными, вы можете отредактировать /etc/sysctl.confфайл и найти следующий текст.

   #net.ipv4.ip_forward=1
   

   Раскомментируйте это.

   net.ipv4.ip_forward=1
   

   Вы также можете запустить, sysctl -pчтобы изменения вступили в силу немедленно.

5. Создать контейнеры.

   pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.1.200/24,gw=10.100.1.1
   pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr2,ip=10.100.2.250/24,gw=10.100.2.1
   

6. Начните контейнеры с pct start 200и pct start 250.

7. Сбрось iptablesправила.

   iptables -F
   

8. Включить NAT.

   iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
   

   vmbr0 это мост, который включает в себя внешний интерфейс.

9. Разрешить пересылку с внешнего интерфейса.

   iptables --append FORWARD --in-interface vmbr0 -j ACCEPT
   

10. Разрешить пересылку из контейнеров в интернет.

    iptables -A FORWARD -i vmbr1 -o vmbr0 -s 10.100.1.0/24 -j ACCEPT
    iptables -A FORWARD -i vmbr2 -o vmbr0 -s 10.100.2.0/24 -j ACCEPT
    

11. Брось другую пересылку.

    iptables -A FORWARD -i vmbr1 -j DROP
    iptables -A FORWARD -i vmbr2 -j DROP
    

Теперь, проверьте, что 10.100.1.200может пинговать, 8.8.8.8но не может пинговать, 10.100.2.250и что 10.100.2.250может пинговать, 8.8.8.8но не может пинговать 10.100.1.200.

Порядок команд, связанных с iptables, важен. Лучший способ управлять вашими правилами - это использовать iptables-persistent. Этот пакет поможет вам сохранить правила Iptables к файлам /etc/iptables/rules.v4и /etc/iptables/rules.v6и он может автоматически загружать их после перезагрузки системы. Просто установите его со следующим.

apt-get install iptables-persistent

Выберите, YESкогда будет предложено.