Когда наша коллекция виртуальных серверов достигла определенного размера, мы перешли с файлов хостов на DNS-сервер. Однако нам все равно придется обновлять правила брандмауэра на каждой машине каждый раз, когда добавляется новый сервер. (Поскольку все виртуальные машины у провайдера могут видеть друг друга, включая машины других клиентов, нам нужен список доверенных адресов в правилах iptables)
Какие методы люди используют для централизованного администрирования конфигурации IPTables? На данный момент лучшее, что у нас есть, - это загрузка нового списка IP-адресов на каждую машину и перезапуск брандмауэра. Есть ли способ лучше?
[Было бы замечательно, если бы мы могли каким-то образом привязать доверенные адреса IPTables к нашему DNS - например. все, что определено в нашем DNS, классифицируется как доверенный адрес - но я предполагаю, что ничего подобного невозможно]
Посмотрите на ресурсы, собранные марионеткой, и на модуль брандмауэра. Он использует оператора космического корабля Ruby.
Вы можете создать запись правила для каждого клиентского манифеста, а затем собрать их вместе для применения к каждому другому клиенту.
Это означает, что вы можете установить марионетку на узел, и его IP автоматически добавляется ко всем остальным узлам.
Я считаю, что примеры в Интернете аналогичны для файла известных хостов ssh