Virtualisoitujen koneiden näkyminen ulkoverkkoon

[Ilokaasu]

Millä tavalla lähtisitte suorittamaan seuraavaa tehtävää:

Palveluntarjoajalta normaali nettiliittymä jossa yksi ulkoinen IP osoite. Se tulee kiinni modeemiin(normi ISPltä saatu). Modeemissa on kiinni palvelin jossa on virtualisoituna esim 3 konetta. Noilla kolmella koneella on sisäverkon IP. Kuvitellaan että julkinen IP on laitettu vaikkapa osoite.fi taakse.

Miten nuo kolme sisäverkon konetta saataisiin näkyviin esim osoite.fi/kone1 osoite.fi/kone2 tms osoitteisiin? Onko useampia keinoja kuin yksi. Kaikki ehdotukset huomioidaan

[ajaaskel]

Mielenkiintoista, tulisi ensin mieleen jonkinlainen porttimäppäykseen / NAT: iin perustuva toteutus koska ulkoisia IP-osoitteita on vain yksi mutta en ole kyllä koskaan tuollaista rakentanut.   

[vmapinf]

Miten nuo kolme sisäverkon konetta saataisiin näkyviin esim osoite.fi/kone1 osoite.fi/kone2 tms osoitteisiin? Onko useampia keinoja kuin yksi. Kaikki ehdotukset huomioidaan

Jos haluat www-palvelimen näkymään jokaisessa virtuaalikoneessa, ne täytyy pyöriä eri porteissa ainakin ulospäin. Helpointa on säätää myös www-palvelimet samoihin portteihin niin on samat osoitteet myös sisäverkosta.

[Ilokaasu]

No mitäs jos laitetaan yksi virtuaalikone pyörittämään www palvelinta, esim apachea ja sitten muissa koneissa oleviin resursseihin päästäihiin käsiksi tältä yhdeltä koneelta. Sen verran olen jo edennyt että apachen proxypass osaa tehdä jotain temppuja, mutta jotenkin tuntuu hankalalta viritykseltä. Onkohan siihen muita vaihtoehtoja.

[vmapinf]

No mitäs jos laitetaan yksi virtuaalikone pyörittämään www palvelinta, esim apachea ja sitten muissa koneissa oleviin resursseihin päästäihiin käsiksi tältä yhdeltä koneelta. Sen verran olen jo edennyt että apachen proxypass osaa tehdä jotain temppuja, mutta jotenkin tuntuu hankalalta viritykseltä. Onkohan siihen muita vaihtoehtoja.

Riippuu mitä haluat saavuttaa. Jos sinulla on eri dataa toisilla virtuaalikoneilla, niin voit mapata hakemiston vaikka NFS:llä siihen koneelle jolta ajat Apachea. Jos sinun tarvitsee päästä nimenomaan saman 80 portin kautta niin vaihtoehdot ovat vähissä. Proxypass on aika viritys, mutta periaatteessa onnistuu silläkin.

[Ilokaasu]

Kuvitellaan vaikka siten että yhdellä virtuaalikoneella pyörii esim sähköpostipalvelin jossa on webmail client mahdollisuus. TOisella virtuaalikoneella pyörii vaikka jokin drupal, joomla tms...sitten osoitteet menisi niin että osoite.fi/webmail osoite.fi/joomla osoite.fi/drupal

Eli eri palvelut haettaisiin sisäverkon IP osoitteessa olevasta virtuaalikoneesta.

[vmapinf]

Kuvitellaan vaikka siten että yhdellä virtuaalikoneella pyörii esim sähköpostipalvelin jossa on webmail client mahdollisuus. TOisella virtuaalikoneella pyörii vaikka jokin drupal, joomla tms...sitten osoitteet menisi niin että osoite.fi/webmail osoite.fi/joomla osoite.fi/drupal

Eli eri palvelut haettaisiin sisäverkon IP osoitteessa olevasta virtuaalikoneesta.

Helpompaa olisi tehdä näin:
webmail.osoite.fi, joomla.osoite.fi jne.

Näin voit osoittaa nimipalvelussa eri IP-osoitteet virtuaalikoneiden mukaan. Jos taas käytössä on vain yksi julkinen IP-osoite, niin on pakko laittaa eri portteihin. Tai sitten se ProxyPass viritys.

[Jantunen]

Kuvitellaan vaikka siten että yhdellä virtuaalikoneella pyörii esim sähköpostipalvelin jossa on webmail client mahdollisuus. TOisella virtuaalikoneella pyörii vaikka jokin drupal, joomla tms...sitten osoitteet menisi niin että osoite.fi/webmail osoite.fi/joomla osoite.fi/drupal

Eli eri palvelut haettaisiin sisäverkon IP osoitteessa olevasta virtuaalikoneesta.

Onko mitään syytä mikseivät nuo voisi fyysisesti sijaita samalla palvelimella? Tai kysytään toisinpäin, miksi niiden pitää nimenomaan olla eri palvelimilla?

Eli säädät apachen siten, että nuo eri palvelut ovat suoraan omissa kansioissaan www-rootin alla...

[Ilokaasu]

Onko mitään syytä mikseivät nuo voisi fyysisesti sijaita samalla palvelimella? Tai kysytään toisinpäin, miksi niiden pitää nimenomaan olla eri palvelimilla?

Jos käytössä on vaikkapa sellaisia palveluja jotka ovat todella suosittuja ja niiden laittaminen samalle serverille ei olisi fiksua...jossittelua tosin kaikki

webmail.osoite.fi, joomla.osoite.fi jne.

Tämä on tosiaan yksi vaihtoehto.

Alunperin ongelmahan lähti siitä että käytössä on vain yksi IP osoite ja sen alle tarvittaisiin monta palvelua. Sitten kun teki monta virtuaalikonetta yhdelle serverille niin syntyi tämä ongelma..

[tjok]

Minulla on vähän tuontyypinen viritys kotona. Pitänyt ihan vaan omaksi iloksi rakentaa DMZ:tat ja palomuurit kaikkien taiteen sääntöjen mukaan.

Minullla on DMZ:ssa virtuaalikone, jossa pyörii Apache ja käytössä on ReverseProxy. Tämä kone siis vastaa julkiseen 80-porttiin. Ja kun pyyntö tulee hakemistoon /foo, niin pyyntö reititetään sisäosoitteella koneelle 1 ja kun tulee hakemistoon /bar niin koneelle 2 jne. Tuolla saisit kaikki haluamasi virtuaalikoneet näkymään yhden julkisen webbiserverin läpi ja voit pitää ne erillisillä koneillaan. On muuten paljon helpompaa ajaa päivityksiä, kun voi päivittää eri tahtiin (LTS vai  uusin Ubuntu jne).

Lisäpisteitä siitä, että conffaat apachen tunnistamaan millä nimellä HTTP-pyyntö tulee (foo.example.com, bar.example.com vaikka kaikilla sama IP nimipalvelussa). Eli apachen VirtualHost toiminnallisuus. 


   Toni

[stfu]

Ainakin pound reverse proxyllä on melko helppoa konffata useita virtuaalikoneita esim. niin että liikenne ohjautuu pyyntöjen perusteella eri virtuaaliapacheille. Näin voi helposti hostata eri domaineja samasta IP:stä. Jos haluaa jakaa kuormaa niin esim. kuvat/videot tai muut resurssi-intensiiviset voidaan ajaa fyysisesti eri paikasta.

Jos käytössä on monia servereitä samalle sivustolle, voi tuota käyttää myös load balancerina - tuosta kyllä ei oo kokemusta.

http://www.cyberciti.biz/faq/linux-http-https-reverse-proxy-load-balancer/