項目6(2)-構(gòu)建KVM虛擬機網(wǎng)絡(luò)服務

項目六構(gòu)建KVM虛擬機網(wǎng)絡(luò)與服務構(gòu)建KVM虛擬機網(wǎng)絡(luò)服務《云網(wǎng)絡(luò)技術(shù)項目教程》構(gòu)建KVM虛擬機網(wǎng)絡(luò)服務【知識目標】（1）掌握常用的負載均衡技術(shù)。（2）掌握南北向和東西向流量的區(qū)別。（3）掌握防火墻與安全組的區(qū)別。（1）能夠配置DHCP服務為虛擬機分配IP地址。（2）能夠配置負載均衡服務提高網(wǎng)絡(luò)的可用性。（3）能夠配置虛擬防火墻和安全組加固虛擬網(wǎng)絡(luò)?！炯寄苣繕恕俊揪W(wǎng)絡(luò)拓撲】任務6-2的網(wǎng)絡(luò)拓撲如圖6-56所示。圖6-56任務6-2網(wǎng)絡(luò)拓撲必備知識1.常用的負載均衡技術(shù)（1）Nginx服務Nginx是一個高性能的開源反向代理服務器，同時也可以作為負載均衡器使用。Nginx支持基于輪詢、最小連接數(shù)、IP哈希等多種負載均衡算法，并可以通過簡單的配置實現(xiàn)負載均衡功能。Nginx除了負載均衡功能外，還可以作為Web服務器、反向代理服務器和緩存服務器使用，具有較強的靈活性和可擴展性。（2）LVS（LinuxVirtualServer）服務LVS是一個基于Linux內(nèi)核的負載均衡解決方案，它通過網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、直接路由（DR）、IP隧道等技術(shù)來實現(xiàn)負載均衡。LVS可以將來自客戶端的請求分發(fā)到后端的多個服務器上，并支持傳輸層和應用層的負載均衡。LVS適合用于構(gòu)建高性能的負載均衡集群，但需要一定的Linux系統(tǒng)和網(wǎng)絡(luò)知識來配置和管理。（3）HAProxy服務HAProxy是一款高性能的、開源的負載均衡器和代理服務器軟件，提供各類服務的性能優(yōu)化和安全保障。HAProxy支持多種負載均衡算法，包括輪詢、加權(quán)輪詢、最少連接數(shù)等，并具有靈活的配置選項和豐富的監(jiān)控功能。是構(gòu)建高性能負載均衡架構(gòu)的重要組件之一。（4）F5負載均衡F5是一款商業(yè)的應用交付控制器，提供高級的負載均衡、安全防護等功能?？梢詫崿F(xiàn)豐富的負載均衡策略和定制化配置，適用于大型企業(yè)和復雜的網(wǎng)絡(luò)環(huán)境。必備知識2.南北向和東西向流量（1）南北向流量指進出數(shù)據(jù)中心或進出網(wǎng)絡(luò)邊界的流量，例如用戶通過互聯(lián)網(wǎng)訪問數(shù)據(jù)中心中的應用程序或服務產(chǎn)生的流量，以及數(shù)據(jù)中心中的應用程序或服務向外部發(fā)送的流量，都屬于南北向流量。在虛擬化環(huán)境中，南北向流量指虛擬機、容器與外部網(wǎng)絡(luò)的通信流量。（2）東西向流量指數(shù)據(jù)中心內(nèi)部或云平臺內(nèi)部虛擬機、容器之間相互通信產(chǎn)生的流量。這樣的通信可能發(fā)生在同一臺物理服務器上，也可能發(fā)生在不同的物理服務器之間。必備知識3.防火墻和安全組防火墻通常用于管理南北向流量，通過設(shè)置規(guī)則允許或拒絕外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的通信。在云環(huán)境中，云服務提供商通常會提供邊界防火墻功能，用于管理進出云平臺的流量。安全組在虛擬化環(huán)境中通常用于管理東西向流量，可以控制虛擬機、容器之間的通信。安全組提供了針對內(nèi)部通信的微觀級別的訪問控制，基于實例級別設(shè)置不同的安全規(guī)則，實現(xiàn)了細粒度的流量控制。防火墻應用對象是虛擬路由，保護路由上連接的子網(wǎng)。如在虛擬路由上定義多條Iptables規(guī)則允許外部網(wǎng)絡(luò)通過ssh協(xié)議訪問租戶網(wǎng)絡(luò)的22端口，但不可以使用telnet協(xié)議訪問租戶網(wǎng)絡(luò)的23端口。安全組保護的是虛擬機實例，可以在宿主機上配置ebtables規(guī)則控制進出虛擬機的虛擬網(wǎng)卡流量，例如只允許web服務器訪問本機的3306數(shù)據(jù)庫端口，而禁止其它流量。必備知識4.ebtables工具ebtables是一個在Linux系統(tǒng)上運行的工具，用于在數(shù)據(jù)鏈路層對以太網(wǎng)幀進行過濾和操作。ebtables提供了一組規(guī)則和命令，允許您根據(jù)源MAC地址、目標MAC地址、協(xié)議類型等條件對網(wǎng)絡(luò)流量進行過濾，以下是ebtables的一些主要特性和用途。（1）過濾功能ebtables允許設(shè)置過濾規(guī)則，根據(jù)源MAC地址、目標MAC地址、協(xié)議類型等條件來限制網(wǎng)絡(luò)流量，F(xiàn)ilter是ebtables默認的表格，它有三條鏈，如果網(wǎng)橋自身做了可以上網(wǎng)的主機，可以在input和output鏈上指明網(wǎng)橋過濾規(guī)則，一般僅作為網(wǎng)橋進行數(shù)據(jù)轉(zhuǎn)發(fā)時，在forward鏈上進行配置。使用ebtables--help可以查看具體選項和參數(shù)。（2）網(wǎng)橋管理ebtables可以用于管理Linux系統(tǒng)上的網(wǎng)橋設(shè)備。它支持添加和刪除網(wǎng)橋、配置網(wǎng)橋參數(shù)，以及設(shè)置網(wǎng)橋之間的流量轉(zhuǎn)發(fā)規(guī)則等。（3）虛擬化環(huán)境中的網(wǎng)絡(luò)隔離在虛擬化環(huán)境中，ebtables可以用于隔離虛擬機之間的網(wǎng)絡(luò)流量，提供額外的網(wǎng)絡(luò)安全層。（4）NAT轉(zhuǎn)換ebtables支持對以太網(wǎng)幀進行NAT轉(zhuǎn)換，可以實現(xiàn)類似于iptables的網(wǎng)絡(luò)地址轉(zhuǎn)換功能。（5）監(jiān)控和日志記錄ebtables可以用于捕獲特定類型的網(wǎng)絡(luò)流量，并將其記錄到日志文件中，以便進一步分析和監(jiān)控網(wǎng)絡(luò)活動。配置DHCP服務為虛擬機分配IP地址1.配置服務器網(wǎng)絡(luò)環(huán)境首先使用CentOS8.ova模板機創(chuàng)建兩臺名稱為node1、node2的服務器，在node1上再添加一塊網(wǎng)卡。三臺服務器的網(wǎng)卡及IP地址配置如表6-2所示。

表6-2網(wǎng)卡地址及所屬網(wǎng)絡(luò)服務器名稱網(wǎng)卡名稱

連接到網(wǎng)絡(luò)網(wǎng)絡(luò)模式IP地址node1ens160VMnet1僅主機ens192lan1區(qū)段自定義網(wǎng)絡(luò)不配置IP地址ens256VMnet8nat不配置IP地址node2ens160VMnet1僅主機ens192lan1區(qū)段自定義網(wǎng)絡(luò)不配置IP地址其中node1、node2的ens160網(wǎng)卡用于登錄管理主機，在node1的ens192與node2的ens192網(wǎng)卡用于跨主機的網(wǎng)絡(luò)通信，node1的ens256用于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互聯(lián)，node2上的虛擬機訪問外部網(wǎng)絡(luò)流量需要經(jīng)過node1服務器的ens256網(wǎng)卡。配置完成后，查看node1服務器的網(wǎng)卡和IP地址配置，如圖6-57所示。圖6-57任務6-2node1網(wǎng)卡及IP地址配置查看node2服務器的網(wǎng)卡和IP地址配置，如圖6-58所示。圖6-58任務6-2node2網(wǎng)卡及IP地址配置配置DHCP服務為虛擬機分配IP地址2.配置計算節(jié)點node2虛擬機和網(wǎng)絡(luò)（1）創(chuàng)建3臺虛擬機安裝任務6-1創(chuàng)建KVM虛擬機的方法，在node2服務器上，創(chuàng)建3臺虛擬機，名稱分別為vm1、vm2、vm3，創(chuàng)建完成后，進入vm1虛擬機的控制臺，如圖6-59所示。圖6-59任務6-2登錄KVM虛擬機vm1登錄vm2虛擬機的控制臺，如圖6-60所示。圖6-60任務6-2登錄KVM虛擬機vm2登錄vm3虛擬機的控制臺，如圖6-61所示。圖6-61任務6-2登錄KVM虛擬機vm3以上安裝vm2和vm3虛擬機時，也可以采用克隆的方式完成，使用virt-manager界面或者命令行的方式都能實現(xiàn)，但啟動后需要對網(wǎng)卡和計算機名等信息進行修改。（2）虛擬機網(wǎng)卡連接虛擬網(wǎng)橋br1①創(chuàng)建虛擬網(wǎng)橋br1在node2服務器的網(wǎng)絡(luò)配置目錄，建立文件ifcfg-br1，在文件中輸入以下內(nèi)容。TYPE=BridgeNAME=br1DEVICE=br1ONBOOT=yes以上配置創(chuàng)建了網(wǎng)橋br1。②創(chuàng)建ens192網(wǎng)卡子接口ens192.10在網(wǎng)絡(luò)配置目錄下創(chuàng)建ifcfg-ens192.10文件，在文件中輸入以下內(nèi)容。VLAN=yesTYPE=VLANPHYSDEV=ens192VLAN_ID=10NAME=ens192.10DEVICE=ens192.10ONBOOT=yesBRIDGE=br1以上配置創(chuàng)建了ens192網(wǎng)卡的子接口ens192.10，封裝vlan標記為10，連接到br1網(wǎng)橋，保存文件后重啟網(wǎng)絡(luò)管理程序和鏈接。③將虛擬機接入網(wǎng)橋br1在vm1、vm2、vm3的控制臺上，將網(wǎng)卡連接到虛擬網(wǎng)橋br1，連接完成后，安裝網(wǎng)橋工具bridge-utils，查看node2節(jié)點的網(wǎng)橋信息，如圖6-62所示。圖6-62任務6-2虛擬網(wǎng)橋br1連接網(wǎng)卡從結(jié)果中可以看出，br1連接著3塊虛擬網(wǎng)卡，分別是vnet9、vnet12、vnet14，這三塊虛擬網(wǎng)卡是vm1、vm2、vm3連接外部的網(wǎng)卡，那如何確定和虛擬機的對應關(guān)系呢，由于在啟動虛擬機時，虛擬網(wǎng)卡是隨機創(chuàng)建的，但編號按照順序依次遞增，由于首先重啟的是vm1，然后是vm2和vm3，所以vm1對應的虛擬網(wǎng)卡是vnet9，vm2對應的虛擬網(wǎng)卡是vnet12，vm3對應的虛擬網(wǎng)卡是vnet14。配置DHCP服務為虛擬機分配IP地址3.node1網(wǎng)絡(luò)節(jié)點配置DHCP服務（1）創(chuàng)建虛擬網(wǎng)橋br1并連接虛擬網(wǎng)卡ens192.10①創(chuàng)建虛擬網(wǎng)橋br1在網(wǎng)絡(luò)節(jié)點node1服務器上，進入網(wǎng)絡(luò)配置目錄，創(chuàng)建ifcfg-br1文件，輸入以下內(nèi)容，創(chuàng)建網(wǎng)橋br1。TYPE=BridgeNAME=br1DEVICE=br1ONBOOT=yes②創(chuàng)建ens192網(wǎng)卡子接口ens192.10在網(wǎng)絡(luò)配置目錄下創(chuàng)建ifcfg-ens192.10文件，在文件中輸入以下內(nèi)容。VLAN=yesTYPE=VLANPHYSDEV=ens192VLAN_ID=10NAME=ens192.10DEVICE=ens192.10ONBOOT=yesBRIDGE=br1以上配置在node1服務器上創(chuàng)建了ens192網(wǎng)卡的子接口ens192.10，封裝vlan標記為10，連接到br1網(wǎng)橋，保存文件后重啟網(wǎng)絡(luò)管理程序和鏈接。（2）創(chuàng)建名稱空間為vlan10用戶分配IP地址，首先創(chuàng)建網(wǎng)絡(luò)名稱空間，然后接入br1網(wǎng)橋上。再在名稱空間下安裝dhcp服務。創(chuàng)建網(wǎng)絡(luò)名稱空間dhcp，連接到網(wǎng)橋br1的配置如下。[root@node1~]#ipnetnsadddhcp#創(chuàng)建網(wǎng)絡(luò)名稱空間dhcp[root@node1~]#iplinkaddv1typevethpeernamev11#增加成對veth網(wǎng)卡[root@node1~]#iplinksetv11up#啟動網(wǎng)卡v11[root@node1~]#iplinksetv1netnsdhcp#將v1移動到名稱空間dhcp[root@node1~]#ipnetnsexecdhcpiplinksetv1up#啟動v1[root@node1~]#brctladdifbr1v11#將v11綁定到網(wǎng)橋br1上（3）安裝配置dhcp服務①安裝dhcp-server服務在名稱空間安裝dhcp-server服務，方法如下。[root@node1~]#ipnetnsexecdhcpbash#進入名稱空間dhcp[root@node1~]#yuminstalldhcp-server-y#安裝dhcp服務②配置dhcp服務首先為網(wǎng)卡v1配置一個/24網(wǎng)絡(luò)的IP地址，因為dhcp分配網(wǎng)絡(luò)時，要監(jiān)聽屬于分配網(wǎng)絡(luò)的網(wǎng)絡(luò)接口，這里將v1接口配置為，配置如下。[root@node1~]#ipaddradd/24devv1然后打開dhcp服務的配置文件/etc/dhcp/dhcpd.conf，輸入以下內(nèi)容。subnetnetmask{#定義分配的網(wǎng)絡(luò)地址

range00;#分配的IP地址范圍

optionsubnet-mask;#分配的子網(wǎng)掩碼

optionrouters;#分配的網(wǎng)關(guān)

optiondomain-name-servers;#分配的DNS服務器}其中網(wǎng)關(guān)在后續(xù)任務中配置在虛擬路由器r1上。③啟動dhcp服務，虛擬機獲取IP地址為隔離各名稱空間的進程，需要使用dhcp服務的/usr/sbin/dhcpd命令直接啟動dhcp服務，在后邊加上配置文件即可，如果使用systemctl啟動將無法有效的隔離各名稱空間的應用進程，啟動dhcp命令如下。[root@node1~]#/usr/sbin/dhcpd-cf/etc/dhcp/dhcpd.conf啟動dhcp服務后，在vm1虛擬機上使用servicenetworkrestart重啟網(wǎng)卡，查看IP地址，如圖6-63所示。圖6-63任務6-2虛擬機vm1成功獲取IP地址在vm2虛擬機上使用servicenetworkrestart重啟網(wǎng)卡，查看IP地址，如圖6-64所示。圖6-64任務6-2虛擬機vm2成功獲取IP地址在vm3虛擬機上使用servicenetworkrestart重啟網(wǎng)卡，查看IP地址，如圖6-65所示。圖6-65任務6-2虛擬機vm3成功獲取IP地址配置防火墻和安全組加固虛擬網(wǎng)絡(luò)1.配置虛擬機內(nèi)外網(wǎng)互聯(lián)（1）創(chuàng)建連接虛擬路由r1和虛擬交換機brout在node1服務器上，創(chuàng)建虛擬機連接外部網(wǎng)絡(luò)的虛擬路由r1和虛擬機交換機brout，將虛擬路由連接到虛擬網(wǎng)橋br1和虛擬網(wǎng)橋brout上，將虛擬網(wǎng)橋brout連接到ens256上。①創(chuàng)建虛擬網(wǎng)橋brout進入網(wǎng)絡(luò)配置目錄，創(chuàng)建ifcfg-brout文件，輸入以下內(nèi)容，創(chuàng)建網(wǎng)橋brout。TYPE=BridgeNAME=broutDEVICE=broutONBOOT=yes配置完成后，重啟網(wǎng)絡(luò)管理和鏈接。②創(chuàng)建虛擬路由r1創(chuàng)建虛擬路由r1，連接到虛擬網(wǎng)橋br1和brout，配置如下。[root@node1~]#ipnetnsaddr1#創(chuàng)建網(wǎng)絡(luò)名稱空間r1[root@node1~]#iplinkaddv3typevethpeernamev33#創(chuàng)建成對虛擬網(wǎng)卡[root@node1~]#iplinksetv33up#啟動v33[root@node1~]#iplinksetv3netnsr1#移動v3到r1名稱空間[root@node1~]#ipnetnsexecr1iplinksetv3up#啟動v3網(wǎng)卡[root@node1~]#iplinkaddvbr1typevethpeernamevbr11#創(chuàng)建成對虛擬網(wǎng)卡[root@node1~]#iplinksetvbr11up#啟動vbr11[root@node1~]#iplinksetvbr1netnsr1#移動vbr1到r1名稱空間[root@node1~]#ipnetnsexecr1iplinksetvbr1up#啟動vbr1[root@node1~]#ipnetnsexecr1ipaddradd/24devv3#設(shè)置vlan10用戶的網(wǎng)關(guān)v3的IP地址[root@node1~]#ipnetnsexecr1ipaddradd0/24devvbr1#設(shè)置連接到外部網(wǎng)絡(luò)虛擬網(wǎng)卡vbr1的IP地址[root@node1~]#brctladdifbr1v33#將v33綁定到虛擬網(wǎng)橋br1[root@node1~]#brctladdifbroutvbr11#將vbr11綁定到虛擬網(wǎng)橋brout[root@node1~]#brctladdifbroutens256#將ens256綁定到虛擬網(wǎng)橋brout配置完成后，檢查虛擬網(wǎng)橋和綁定網(wǎng)卡信息，如圖6-66所示。圖6-66任務6-2node1服務器的網(wǎng)橋及網(wǎng)卡綁定信息（2）配置虛擬路由r1實現(xiàn)內(nèi)外網(wǎng)互訪①開啟防火墻路由轉(zhuǎn)發(fā)功能[root@node1~]#ipnetnsexecr1bash進入虛擬路由r1在/etc/sysctl.conf中加入以下配置。net.ipv4.ip_forward=1然后在命令行執(zhí)行以下命令，使配置生效。[root@node1~]#sysctl-p②添加到達外部網(wǎng)絡(luò)的路由在r1名稱空間下，配置默認路由，指向vmnet8網(wǎng)絡(luò)的網(wǎng)關(guān)地址，配置如下。[root@node1~]#routeadddefaultgw③配置snat規(guī)則實現(xiàn)內(nèi)部虛擬機訪問外部主機當虛擬機訪問外部主機流量到達r1后，需要配置Iptalbes源地址轉(zhuǎn)換規(guī)則，將源地址轉(zhuǎn)換成0，實現(xiàn)訪問外部主機，配置如下。[root@node1~]#iptables-tnat-APOSTROUTING-s/24-jSNAT--to0#將來自/24網(wǎng)絡(luò)的源地址轉(zhuǎn)換為0配置完成后，在虛擬機vm1的控制臺上訪問，結(jié)果如圖6-67所示。

圖6-67任務6-2虛擬機vm1訪問從結(jié)果發(fā)現(xiàn)，虛擬機vm1已經(jīng)能夠訪問。能夠訪問域名的原因是vm1通過dhcp服務器配置了DNS地址，所以能夠解析域名。（2）配置DNAT實現(xiàn)外部主機訪問虛擬機①增加路由出口IP地址虛擬路由器r1完成外部出口到虛擬機的映射，需要在出口上增加1個IP地址為1/24，配置如下。[root@node1~]#ipaddradd1/24devvbr1#接口添加IP地址[root@node1~]#ipaddradd2/24devvbr1#接口添加IP地址②配置Iptalbes目的地址轉(zhuǎn)換規(guī)則虛擬機vm1和虛擬機vm2是兩臺web服務器，需要進行遠程管理維護，所以需要實現(xiàn)訪問路由器的22端口時，跳轉(zhuǎn)到兩臺虛擬機的22端口，配置如下。[root@node1~]#iptables-tnat-APREROUTING-d0-ptcp--dport22-jDNAT--to:22#當外部主機訪問0的22端口時，跳轉(zhuǎn)到vm1虛擬機的22端口[root@node1~]#iptables-tnat-APREROUTING-d1-ptcp--dport22-jDNAT--to:22#當外部主機訪問1的22端口時，跳轉(zhuǎn)到vm2虛擬機的22端口[root@node1~]#iptables-tnat-APREROUTING-d2-ptcp--dport22-jDNAT--to:22配置結(jié)束后，在windows上，使用SecureCRT工具使用ssh協(xié)議訪問0的22端口時，即可以登陸到虛擬機vm1，如圖6-68所示。圖6-68任務6-2遠程登陸到虛擬機vm1使用SecureCRT工具使用ssh協(xié)議訪問1的22端口時，可以登陸到虛擬機vm2，如圖6-69所示。圖6-69任務6-2遠程登陸到虛擬機vm2使用SecureCRT工具使用ssh協(xié)議訪問2的22端口時，可以登陸到虛擬機vm2，如圖6-70所示。圖6-70任務6-2遠程登陸到虛擬機vm3在三臺虛擬機上上傳阿里云的centos6.5網(wǎng)絡(luò)yum源，如下所示。[root@vm1yum.repos.d]#lsCentOS-Base.repo[root@vm2yum.repos.d]#lsCentOS-Base.repo[root@vm3yum.repos.d]#lsCentOS-Base.repo在vm3上安裝數(shù)據(jù)庫mysql-server，用于測試后續(xù)配置，如下所示。[root@vm3~]#yuminstallmysql-server-y啟動數(shù)據(jù)庫，如下所示。[root@vm3~]#servicemysqldstart配置防火墻和安全組加固虛擬網(wǎng)絡(luò)2.配置防火墻規(guī)則實現(xiàn)vm3的訪問控制防火墻主要用來控制每個子網(wǎng)與外部網(wǎng)絡(luò)的通信流量和不同子網(wǎng)之間的通信流量。在本任務中，虛擬機vm3部署公司的重要數(shù)據(jù)庫，不可以與外部進行網(wǎng)絡(luò)通信，但在虛擬路由器r1配置snat規(guī)則時，/24網(wǎng)絡(luò)的主機都可以訪問外部網(wǎng)絡(luò)，需要在r1上配置Iptables過濾規(guī)則將vm3去往外部的流量禁止掉。流經(jīng)路由器的數(shù)據(jù)需要經(jīng)過三個鏈，分別是PREROUTING、FORWARD、POSTROUTING，snat源地址轉(zhuǎn)換配置在POSTROUTING鏈上，filter表的規(guī)則可以作用在INPUT鏈、FORWARD鏈、OUTPUT鏈上，所以可以在FORWARD鏈上配置filter表的規(guī)則，禁止掉來自vm3地址的流量，配置如下。[root@node1~]#iptables-AFORWARD-s-jDROP配置完成后，查看vm3與外部網(wǎng)絡(luò)的連通性時，結(jié)果如圖6-71所示，發(fā)現(xiàn)虛擬機vm3已經(jīng)無法訪問外部網(wǎng)絡(luò)了。圖6-71任務6-2虛擬機vm3已經(jīng)無法訪問外部主機使用使用SecureCRT工具也無法登錄登錄到vm3虛擬機，如圖6-72所示。圖6-72任務6-2外部主機無法登錄vm3虛擬機配置防火墻和安全組加固虛擬網(wǎng)絡(luò)3.配置安全組規(guī)則實現(xiàn)內(nèi)部主機訪問控制（1）配置ebtables安全組規(guī)則虛擬機和vm1和vm2部署的是動態(tài)網(wǎng)站，只需要訪問公司的vm3服務器的數(shù)據(jù)庫，同時虛擬機vm3需要開放內(nèi)部用戶的遠程管理功能，禁止到其他的訪問流量，在每個子網(wǎng)內(nèi)部使用ebtables安全組規(guī)則實現(xiàn)訪問控制，配置如下。[root@node2~]#ebtables-tfilter-AFORWARD-pipv4-ovnet24--ip-prototcp--ip-dport22-jACCEPT#虛擬機vm3連接在vnet24接口，-o指從外界到達虛擬機的流量，使用-i指虛擬機到達該接口的流量。此條配置在filter表的FORWARD鏈中添加了一條針對ipv4的規(guī)則，接受tcp協(xié)議目標22端口數(shù)據(jù)。[root@node2~]#ebtables-tfilter-AFORWARD-pipv4-ovnet24--ip-prototcp--ip-dport3306-jACCEPT#此條配置在filter表的FORWARD鏈中添加了一條針對ipv4的規(guī)則，接受tcp協(xié)議目標3306端口數(shù)據(jù)。[root@node2~]#ebtables-tfilter-AFORWARD-pipv4-ovnet24-jDROP#此條配置在filter表的FORWARD鏈中添加了一條針對ipv4的規(guī)則，拒絕其他流量。（2）測試安全組規(guī)則①測試內(nèi)部主機遠程登陸虛擬機vm3在vm2的登錄界面上，使用sshroot@登錄管理虛擬機vm3，結(jié)果如圖6-73所示。圖6-73任務6-2在虛擬機vm2上遠程登錄管理虛擬機vm3輸入root用戶的密碼000000，發(fā)現(xiàn)可以登錄到虛擬機vm3了。②測試內(nèi)部主機訪問虛擬機vm3的mysql-server服務在虛擬機vm1上，安裝mysql客戶端，如下所示。[root@vm1~]#yuminstallmysql-y使用mysql客戶端工具登錄虛擬機vm3的mysqld服務，如下所示。[root@vm1~]#mysql-h-uroot-p結(jié)果如圖6-74所示。圖6-74任務6-2在虛擬機vm1上登陸虛擬機vm3的mysqld服務從結(jié)果可以看出，當向vm3發(fā)送icmp報文請求時，已經(jīng)沒有返回數(shù)據(jù)了，說明ebtables安全組規(guī)則拒絕了其他訪問流量。圖6-75任務6-2在虛擬機vm1上測試與虛擬機vm3的連通性從結(jié)果可以看出，虛擬機vm1已經(jīng)可以訪問虛擬機vm3的mysqld數(shù)據(jù)庫服務了。③測試其他訪問流量使用負載均衡確保WEB服務高可用根據(jù)任務拓撲所示，在虛擬機vm1和vm2上，安裝WEB網(wǎng)站服務，訪問虛擬路由r1連接外網(wǎng)地址的web服務時，跳轉(zhuǎn)到虛擬路由器lb上，在lb上安裝負載均衡服務nginx，將流量負載分擔到vm1和vm2的WEB服務上。1.安裝啟動httpd服務（1）安裝httpd服務在虛擬機vm1和vm2上，安裝httpd服務，如下所示。[root@vm1~]#yuminstallhttpd-y[root@vm2~]#yuminstallhttpd-y（2）配置啟動httpd服務將虛擬機vm1的網(wǎng)站首頁內(nèi)容設(shè)置為vm1，如下所示。[root@vm1~]#echovm1>/var/www/html/index.html將虛擬機vm2的網(wǎng)站首頁內(nèi)容設(shè)置為vm2，如下所示。[root@vm2~]#echovm2>/var/www/html/index.html（3）關(guān)閉防火墻關(guān)閉虛擬機vm1和vm2的防火墻，如下所示。[root@vm1html]#serviceiptablesstop[root@vm2html]#serviceiptablesstop（4）測試服務在vm1上測試vm2的WEB服務，如圖6-76所示。圖6-76任務6-2在vm1上訪問測試vm2的WEB服務在vm2上測試vm1的WEB服務，如圖6-77所示。圖6-77任務6-2在vm2上訪問測試vm1的WEB服務配置防火墻和安全組加固虛擬網(wǎng)絡(luò)2.安裝配置nginx負載均衡服務在服務器node1上，創(chuàng)建網(wǎng)絡(luò)名稱空間lb，配置接口的ip地址，連接到br1虛擬網(wǎng)橋上。（1）創(chuàng)建虛擬路由lb[root@node1~]#ipnetnsad