Контейнеры LXC (контейнеры Linux) - это функция операционной системы Linux, которую можно использовать для запуска нескольких изолированных систем Linux на одном хосте.
Эти инструкции проведут вас через основные этапы настройки сервера для размещения изолированных контейнеров Linux. Мы настроим следующие функции:
ssh [email protected]иssh [email protected]Это руководство предполагает, что:
В конце урока мы получим два виртуальных контейнера, которые будут иметь доступ к Интернету, но не могут пропинговать друг друга. Мы также настроим переадресацию портов из example.comконтейнеров. Мы развернем безопасную конфигурацию и панель управления с помощью инструментов из пакета Proxmox.
Мы будем использовать Proxmox только для управления контейнерами LXC. Как правило, он также поддерживает KVM, но вложенная виртуализация на Vultr запрещена. Перед запуском Proxmox ISO необходимо загрузить с официального сайта. Мы будем использовать Proxmox VE 5.0 ISO Installer. Установите ОС из образа с настройками по умолчанию и перезагрузите виртуальную машину. Кроме того, вы можете вручную установить Proxmox из источников, но это не является необходимым в большинстве случаев (следуйте инструкциям здесь ).
Подключитесь к вашему хосту по SSH, обновите список шаблонов proxmox и загрузите подходящий шаблон для контейнеров.
apt-get update
pveam update
pveam available
pveam download local ubuntu-14.04-standard_14.04-1_amd64.tar.gz
Теперь нам нужно создать контейнер Linux с сетевым интерфейсом, подключенным к мосту Linux. Откройте /etc/network/interfacesи добавьте следующие строки:
auto vmbr1
iface vmbr1 inet static
address 10.100.0.1
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0
После перезагрузки системы вы можете создать новый контейнер из Ubuntu 14.04шаблона.
pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.200/24,gw=10.100.0.1
Вы можете проверить свой контейнер, используя pct list, запустить контейнер # 200 с pct start 200и войти в его оболочку с pct enter 200. Вы также можете проверить настройки сети и адреса с помощью ip addr.
Чтобы обеспечить подключение к Интернету внутри вашего контейнера, нам нужно включить NAT. Следующее позволит перенаправлять трафик из контейнера в Интернет с помощью технологии NAT. vmbr0Мост подключен к внешнему интерфейсу , и vmbr1мост соединен с контейнерами.
sysctl -w net.ipv4.ip_forward=1
iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
iptables --append FORWARD --in-interface vmbr1 -j ACCEPT
Введите контейнер с pct enter 200и настройте веб-сервер внутри.
apt-get update
apt-get install nginx
service nginx start
exit
Теперь нам нужно настроить Nginx на вашем сервере для прокси-сайтов в контейнеры.
apt-get update
apt-get install nginx
Создайте новый файл конфигурации /etc/nginx/sites-available/box200со следующим содержимым:
server {
listen 80;
server_name server200.example.com;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
location / {
proxy_pass http://10.100.0.200/;
}
}
Теперь Nginx будет передавать каждый HTTP-запрос server200.example.comс вашего сервера в контейнер с IP-адресом 10.100.0.200. Активируйте эту конфигурацию.
ln -s /etc/nginx/sites-available/box200 /etc/nginx/sites-enabled/
service nginx restart
Если вы хотите обеспечить легкий доступ к песочницам, вам нужно перенаправить сеансы SSH в контейнеры. Для этого создайте нового пользователя на вашем корневом сервере. Не забудьте ввести пароль, другие параметры не обязательны.
adduser box200
su - box200
ssh-keygen
cat .ssh/id_rsa.pub
exit
Скопируйте этот ключ SSH и введите контейнер, чтобы добавить ключ.
pct enter 200
mkdir .ssh
nano .ssh/authorized_keys
exit
На вашем сервере добавьте следующую строку в .ssh/authorized_keysфайл.
command="ssh [email protected]",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>
Не забудьте поменять <YOUR SSH KEY>на свой домашний открытый ключ. Кроме того, вы можете запустить следующее из командной строки.
echo 'command="ssh [email protected]",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>' >> .ssh/authorized_keys
Затем вы можете подключиться к своей песочнице с помощью ssh.
`ssh box200@<your_server_IP>`
Настало время реализовать несколько улучшений безопасности. Во-первых, мы хотим изменить порт SSH по умолчанию. Затем мы хотим защитить нашу страницу управления Proxmox базовой HTTP-аутентификацией.
nano /etc/ssh/sshd_config
Раскомментируйте и измените строку
#Port 22
в
Port 24000
Перезапустите SSH.
service ssh restart
Переподключитесь к ssh с новым портом.
ssh root@<your_IP> -p 24000
Создать файл /etc/default/pveproxy.
ALLOW_FROM="127.0.0.1"
DENY_FROM="all"
POLICY="allow"
Перезапустите, pveproxyчтобы изменения вступили в силу.
/etc/init.d/pveproxy restart
Настройте nginx (если вы еще этого не сделали).
apt-get install nginx
service nginx restart
Создайте конфигурацию по умолчанию в /etc/nginx/site-available/default.
server {
listen 80;
server_name example.com;
rewrite ^ https://$hostname.example.com$request_uri? permanent;
}
server {
listen 443 ssl;
server_name example.com;
#auth_basic "Restricted";
#auth_basic_user_file htpasswd;
#location / { proxy_pass https://127.0.0.1:8006; }
}
Получите действительный сертификат SSL и обновите конфигурацию nginx. Например, это можно сделать с помощью certbox и letsencrypt. Для получения дополнительной информации, нажмите здесь .
wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
./certbot-auto --nginx
Теперь ваша конфигурация nginx должна выглядеть так (или вы можете изменить ее вручную). Не забудьте раскомментировать строки ssl, auth и location.
server {
listen 80;
server_name example.com;
rewrite ^ https://$hostname.example.com$request_uri? permanent;
}
server {
listen 443 ssl;
server_name example.com;
ssl on;
auth_basic "Restricted";
auth_basic_user_file htpasswd;
location / { proxy_pass https://127.0.0.1:8006; }
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; # managed by Certbot
}
Создайте /etc/htpasswdфайл с помощью генератора Htpasswd .
nano /etc/nginx/htpasswd
Перезапустите Nginx
service nginx restart
Теперь вы можете просматривать консоль управления https://example.comпосле базовой аутентификации.
Контейнеры теперь доступны по HTTP-запросам и SSH. Теперь мы можем настроить переадресацию портов с внешнего сервера на контейнеры. Например, для отображения example.com:8080на 10.100.0.200:3000вход следующего.
iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 8080 -j DNAT --to 10.100.0.200:3000
Вы можете просмотреть текущие правила.
`iptables -t nat -v -L PREROUTING -n --line-number`
Вы также можете удалить правило по номеру с помощью следующего.
`iptables -t nat -D PREROUTING <#>`.
Теперь мы можем получить доступ к одному контейнеру из другого.
pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.250/24,gw=10.100.0.1
pct start 250
pct enter 250
ping 10.100.0.200
Если вы хотите ограничить доступ от контейнера 250 до 200, вам необходимо подключить каждый контейнер к личному мосту и отключить пересылку между мостами.
Удалить существующие контейнеры.
pct stop 200
pct stop 250
pct destroy 200
pct destroy 250
Изменить содержание /etc/network/interfaces.
auto vmbr1
iface vmbr1 inet static
address 10.100.1.1
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0
auto vmbr2
iface vmbr2 inet static
address 10.100.2.1
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0
reboot система
Включить пересылку
`sysctl -w net.ipv4.ip_forward=1`
Чтобы сделать эти изменения постоянными, вы можете отредактировать /etc/sysctl.confфайл и найти следующий текст.
#net.ipv4.ip_forward=1
Раскомментируйте это.
net.ipv4.ip_forward=1
Вы также можете запустить, sysctl -pчтобы изменения вступили в силу немедленно.
Создать контейнеры.
pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.1.200/24,gw=10.100.1.1
pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr2,ip=10.100.2.250/24,gw=10.100.2.1
Начните контейнеры с pct start 200и pct start 250.
Сбрось iptablesправила.
iptables -F
Включить NAT.
iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
vmbr0 это мост, который включает в себя внешний интерфейс.
Разрешить пересылку с внешнего интерфейса.
iptables --append FORWARD --in-interface vmbr0 -j ACCEPT
Разрешить пересылку из контейнеров в интернет.
iptables -A FORWARD -i vmbr1 -o vmbr0 -s 10.100.1.0/24 -j ACCEPT
iptables -A FORWARD -i vmbr2 -o vmbr0 -s 10.100.2.0/24 -j ACCEPT
Брось другую пересылку.
iptables -A FORWARD -i vmbr1 -j DROP
iptables -A FORWARD -i vmbr2 -j DROP
Теперь, проверьте, что 10.100.1.200может пинговать, 8.8.8.8но не может пинговать, 10.100.2.250и что 10.100.2.250может пинговать, 8.8.8.8но не может пинговать 10.100.1.200.
Порядок команд, связанных с iptables, важен. Лучший способ управлять вашими правилами - это использовать iptables-persistent. Этот пакет поможет вам сохранить правила Iptables к файлам /etc/iptables/rules.v4и /etc/iptables/rules.v6и он может автоматически загружать их после перезагрузки системы. Просто установите его со следующим.
apt-get install iptables-persistent
Выберите, YESкогда будет предложено.
Обзор Эта статья призвана помочь вам в кратчайшие сроки запустить и запустить кластер Kubernetes с помощью kubeadm. Это руководство будет развертывать два сервера, на
Введение Это руководство покажет вам, как создать и настроить рой Docker с использованием нескольких серверов Alpine Linux 3.9.0 и Portainer. Пожалуйста, знайте, что
Приложения PHP обычно состоят из веб-сервера, системы реляционных баз данных и самого интерпретатора языка. В этом уроке мы будем leveragin
Kubernetes - это платформа с открытым исходным кодом, разработанная Google для управления контейнерными приложениями на кластере серверов. Он основан на десятилетии и
Введение Docker - это приложение, которое позволяет нам развертывать программы, которые запускаются как контейнеры. Он был написан на популярном языке программирования Go
Используете другую систему? Введение Rancher - это платформа с открытым исходным кодом для запуска контейнеров и создания частного контейнерного сервиса. Rancher является базой
В этой статье объясняется, как установить docker-compose на CoreOS. В CoreOS папка / usr / является неизменяемой, поэтому стандартный путь / usr / local / bin недоступен для
Мы все знаем и любим Docker, платформу для создания, управления и распределения контейнеров приложений на нескольких компьютерах. Docker Inc. предоставляет услугу т
Используете другую систему? Введение Rancher - это платформа с открытым исходным кодом для запуска контейнеров и создания частного контейнерного сервиса. Rancher является базой
Используете другую систему? Введение Sentry - это решение с открытым исходным кодом для отслеживания ошибок. Sentry отслеживает исключения и другие полезные сообщения для
Harbour - это сервер реестра корпоративного класса с открытым исходным кодом, который хранит и распространяет образы Docker. Harbour расширяет с открытым исходным кодом Docker Distribution b
Используете другую систему? Введение Docker Swarm превращает ваши отдельные серверы в кластер компьютеров, облегчая масштабирование, высокую доступность и
Используете другую систему? Docker - это приложение, которое позволяет развертывать программное обеспечение в виртуальных контейнерах. Это было написано в программе Go
Обзор RancherOS - это невероятно легкая операционная система (всего около 60 МБ), которая запускает системный демон Docker в качестве PID 0 для запуска системных служб.
Используете другую систему? Введение Docker Swarm превращает ваши отдельные серверы в кластер компьютеров; облегчение масштабирования, высокая доступность и
Это руководство объясняет основы начала работы с Docker. Я предполагаю, что у вас уже установлен Docker. Шаги в этом уроке будут работать на
При запуске веб-приложения вы, как правило, хотите максимально эффективно использовать свои ресурсы без необходимости конвертировать программное обеспечение для использования многопоточности.
Предпосылки к движку Docker 1.8+. Минимум 4 ГБ дискового пространства. Минимум 4 ГБ ОЗУ. Шаг 1. Установите Docker Для установки SQL-сервера, Docker mus
Используете другую систему? Введение Docker - это приложение, которое позволяет развертывать программное обеспечение в виртуальных контейнерах. Это было написано в G
Изучение 26 методов анализа больших данных: часть 1
Многие из вас знают Switch, который выйдет в марте 2017 года, и его новые функции. Для тех, кто не знает, мы подготовили список функций, которые делают «Switch» обязательным гаджетом.
Вы ждете, когда технологические гиганты выполнят свои обещания? проверить, что осталось недоставленным.
Прочтите блог, чтобы узнать о различных уровнях архитектуры больших данных и их функциях самым простым способом.
Прочтите это, чтобы узнать, как искусственный интеллект становится популярным среди небольших компаний и как он увеличивает вероятность их роста и дает преимущество перед конкурентами.
CAPTCHA стало довольно сложно решать пользователям за последние несколько лет. Сможет ли он оставаться эффективным в обнаружении спама и ботов в ближайшем будущем?
По мере того, как наука развивается быстрыми темпами, принимая на себя большую часть наших усилий, также возрастает риск подвергнуться необъяснимой сингулярности. Прочтите, что может значить для нас необычность.
Что такое телемедицина, дистанционное здравоохранение и их влияние на будущее поколение? Это хорошее место или нет в ситуации пандемии? Прочтите блог, чтобы узнать мнение!
Возможно, вы слышали, что хакеры зарабатывают много денег, но задумывались ли вы когда-нибудь о том, как они зарабатывают такие деньги? Давайте обсудим.
Недавно Apple выпустила macOS Catalina 10.15.4, дополнительное обновление для исправления проблем, но похоже, что это обновление вызывает больше проблем, приводящих к поломке компьютеров Mac. Прочтите эту статью, чтобы узнать больше
