Я пытаюсь настроить несколько виртуальных серверов с помощью kvm и изо всех сил пытаюсь понять, что делать с конфигурацией сети. В настоящее время у меня есть 10 выделенных серверов за брандмауэром (asa 5505) - 2 из этих выделенных серверов, которые я хотел бы использовать в качестве узлов kvm, на каждом из которых размещается 5 виртуальных машин.
В прошлом я следовал руководствам, в которых мне было доверено создать мост (br0) к eth0 на хосте kvm, позволяющий им подключаться к сети, настроенной на брандмауэре. Это подводит меня к моей проблеме, заключающейся в том, что «внутренний» интерфейс брандмауэра имеет сеть / подсеть x.x.x.x / 28, что не обеспечивает достаточного количества IP-адресов для 10 выделенных + 10 виртуальных серверов, которые у меня будут.
Полагаю, мой вопрос в том, какие у меня есть варианты и как их настроить? Один из вариантов - изменить маску подсети, однако это будет означать изменение виртуальных частных сетей, настроенных на брандмауэре, и я очень не хочу этого делать.
Я не уверен, стоит ли мне усложнять ситуацию на данном этапе, но:
Я бы придерживался мостов и (возможно) отдельной VLAN для внутреннего трафика с внутренним NAT / маршрутизатором для обеспечения NAT к «внутренней» сети и далее.
Лучшим решением было бы просто увеличить размер подсети «внутри»
Вы можете легко настроить NAT-маршрутизация вместо мостовой маршрутизации на вашем KVM-хосте. Однако это создает некоторые проблемы, которые вам, возможно, придется решить, если вам потребуется входящее подключение к гостевым виртуальным машинам за NAT. Вы можете настроить правила на хосте KVM для перенаправления входящего трафика определенного порта указанным гостям, но (как и в случае большинства NAT), если у вас нет какой-либо балансировки нагрузки или другого уровня управления трафиком высокого уровня, порт может быть только переадресовано одному гостю.
Кроме того, если вы можете разделить виртуальные машины, выделенные каждому хосту, в зависимости от того, с какими другими виртуальными машинами им нужно разговаривать, вы можете обойтись без NAT без переадресации портов.
С учетом всего сказанного, если бы я и я контролировали адресное пространство, я бы просто изменил подсеть, при необходимости скорректировал маршрутизацию VPN и использовал бы мостовую сеть.