Re: XEN a DMZ virtuála + intranetová virtála na intranetovém stroji

[Pavel Kankovsky]

On Tue, 22 Jun 2010, Oto Buchta wrote:

> Veškerá komunikace z DMZ virtuály by šla právě a pouze na tuto síťovku
> a to včetně komunikace s hostem (tedy přes hlavní NAT na switchi),
> z intranetu (virtuála+host) by naopak vše šlo přes druhou
> síťovku+loopback. Už jste něco podobného řešili? Lze to vůbec?

S virtuálními stroji není žádný problém. Prostě každému dáte přístup jen
k jednomu z interfejsů.

Dom0 (není zcela správné tomu říkat host, protože je to vlastně také vm a
od ostatních vm se liší pouze určitými privilegii) má vždy principiálně
přístup na oba interfejsy, ale fakticky může mít nakonfigurovaný jen ten
intranetový (ale pozor na IPv6) a tvářit se, že s tím vnějším nemá nic
společného.

Hypoteticky by také bylo možno hardware vnějšího interfejsu od dom0 úplně
odpojit a připojit do vm přes PCI passthrough, ale pokud nemáte nějaké
zvláštní nároky, tak by to asi byla zbytečná komplikace.

-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /