Säkert distribuera och hantera LXC-behållare på Ubuntu 14.04

LXC-behållare (Linux-behållare) är en operativsystemfunktion i Linux som kan användas för att köra flera isolerade Linux-system på en enda värd.

Dessa instruktioner kommer att leda dig genom de grundläggande stegen för serverkonfiguration för isolerade Linux-behållare. Vi kommer att konfigurera följande funktioner:

• LXC-behållare med Ubuntu 14.
• Linux-nätverksinställningar och portvidarebefordran för containrar.
• SSH-vidarebefordran för containeradministration så enkelt som ssh [email protected]ochssh [email protected]
• Nginx proxy-konfiguration för åtkomst till webbplatser inuti behållare (efter värdnamn).
• Ytterligare säkerhetsförbättringar för korrekt serverhantering.

Den här guiden förutsätter att:

• Du har ett konto på Vultr.com .
• Du vet hur man konfigurerar en virtuell maskin med en anpassad ISO.
• Du vet hur man använder SSH-nycklar och du har redan genererat offentliga och privata nycklar.

I slutet av handledningen kommer vi att få två virtuella behållare som kommer att ha tillgång till internet, men som inte kan pinga varandra. Vi kommer också att konfigurera portvidarebefordran från example.comtill containrar. Vi kommer att distribuera säker konfigurations- och hanteringspanel med hjälp av verktyg från Proxmox-paketet.

Förberedelser

Vi kommer endast att använda Proxmox för hantering av LXC-behållare. I allmänhet stöder den också KVM, men kapslad virtualisering är förbjuden på Vultr. Före start bör en Proxmox ISO laddas ner från den officiella webbplatsen. Vi kommer att använda Proxmox VE 5.0 ISO Installer. Installera operativsystemet från bilden med standardinställningar och starta om den virtuella maskinen. Du kan också installera proxmox manuellt från källor, men det är inte nödvändigt i de flesta fall (följ instruktionerna här ).

OS-inställningar

Anslut till din värd med SSH, uppdatera listan över proxmox-mallar och ladda ner en lämplig mall för behållare.

apt-get update
pveam update
pveam available
pveam download local ubuntu-14.04-standard_14.04-1_amd64.tar.gz

Nu måste vi skapa en linux-behållare med nätverksgränssnitt kopplat till en linux-brygga. Öppna /etc/network/interfacesoch lägg till följande rader:

auto vmbr1
iface vmbr1 inet static
    address  10.100.0.1
    netmask  255.255.255.0
    bridge_ports none
    bridge_stp off
    bridge_fd 0

Efter omstart av systemet kan du skapa en ny behållare från Ubuntu 14.04mallen.

pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.200/24,gw=10.100.0.1

Du kan verifiera din behållare med pct list, starta behållare #200 med pct start 200och ange dess skal med pct enter 200. Du kan också verifiera nätverksinställningar och adresser med ip addr.

Nätverk

För att tillhandahålla internetanslutning i din behållare måste vi aktivera NAT. Följande gör att trafik kan vidarebefordras från behållaren till internet med hjälp av NAT-teknik. Den vmbr0bro är ansluten till den externa gränssnitt och vmbr1bryggan är ansluten till behållarna.

sysctl -w net.ipv4.ip_forward=1
iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
iptables --append FORWARD --in-interface vmbr1 -j ACCEPT

Gå in i behållaren med pct enter 200och konfigurera webbservern inuti.

apt-get update
apt-get install nginx
service nginx start
exit

Nu måste vi konfigurera Nginx på din server för att proxysa webbplatser till behållare.

apt-get update
apt-get install nginx

Skapa en ny konfigurationsfil /etc/nginx/sites-available/box200med följande innehåll:

server {
    listen 80;
    server_name server200.example.com;

    proxy_set_header Host $http_host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $remote_addr;

    location / {
        proxy_pass http://10.100.0.200/;
    }
}

Nginx kommer nu att proxyservera varje HTTP-begäran server200.example.comfrån din server till behållaren med IP 10.100.0.200. Aktivera denna konfiguration.

ln -s /etc/nginx/sites-available/box200 /etc/nginx/sites-enabled/
service nginx restart

SSH-åtkomst

Om du vill ge enkel åtkomst till sandlådor måste du vidarebefordra SSH-sessioner till behållarna. För att göra det, skapa en ny användare på din rotserver. Glöm inte att ange ett lösenord, andra parametrar är inte nödvändiga.

adduser box200
su - box200
ssh-keygen
cat .ssh/id_rsa.pub
exit

Kopiera denna SSH-nyckel och ange behållaren för att lägga till nyckeln.

pct enter 200
mkdir .ssh
nano .ssh/authorized_keys
exit

På din server lägger du till följande rad i .ssh/authorized_keysfilen.

command="ssh [email protected]",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>

Glöm inte att byta <YOUR SSH KEY>till din offentliga hemnyckel. Alternativt kan du köra följande från kommandoraden.

echo 'command="ssh [email protected]",no-X11-forwarding,no-agent-forwarding,no-port-forwarding <YOUR SSH KEY>' >> .ssh/authorized_keys

Sedan kan du ansluta till din sandlåda med ssh.

`ssh box200@<your_server_IP>`

Ytterligare inställningar

Det är dags att implementera flera säkerhetsförbättringar. Först vill vi ändra standard SSH-porten. Sedan vill vi skydda vår Proxmox-hanteringssida med grundläggande HTTP-autentisering.

nano /etc/ssh/sshd_config

Avkommentera och ändra raden

#Port 22 

till

Port 24000 

Starta om ssh.

service ssh restart

Återanslut till ssh med den nya porten.

ssh root@<your_IP> -p 24000

Ställ in ett Proxmox-lösenord.

Skapa fil /etc/default/pveproxy.

ALLOW_FROM="127.0.0.1"
DENY_FROM="all"
POLICY="allow"

Starta om pveproxyför att ändringarna ska träda i kraft.

/etc/init.d/pveproxy restart

Konfigurera nginx (om du inte har gjort det tidigare).

apt-get install nginx
service nginx restart

Skapa en standardkonfiguration i /etc/nginx/site-available/default.

server {
        listen          80;
        server_name     example.com;
        rewrite         ^ https://$hostname.example.com$request_uri? permanent;
}
server {
        listen                   443 ssl;
        server_name              example.com;
        #auth_basic              "Restricted";
        #auth_basic_user_file    htpasswd;
        #location / { proxy_pass https://127.0.0.1:8006; }
}

Skaffa ett giltigt SSL-certifikat och uppdatera din nginx-konfiguration. Det kan till exempel göras med hjälp av certbox och letsencrypt. För mer information, klicka här .

wget https://dl.eff.org/certbot-auto
chmod +x certbot-auto
./certbot-auto --nginx

Nu bör din nginx-konfiguration se ut så här (eller så kan du ändra den manuellt efter). Glöm inte att avkommentera ssl-, auth- och platsrader.

server {
    listen          80;
    server_name     example.com;
    rewrite         ^ https://$hostname.example.com$request_uri? permanent;
}

server {
        listen                  443 ssl;
        server_name             example.com;
        ssl on;
        auth_basic              "Restricted";
        auth_basic_user_file    htpasswd;
        location / { proxy_pass https://127.0.0.1:8006; }        

        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; # managed by Certbot
        ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; # managed by Certbot
}

Skapa en /etc/htpasswdfil med hjälp av Htpasswd-generatorn .

nano /etc/nginx/htpasswd

Starta om Nginx

service nginx restart

Du kan nu se hanteringskonsolen på https://example.comefter grundläggande autentisering.

Port Forwarding

Behållarna är nu tillgängliga via HTTP-förfrågningar och SSH. Nu kan vi konfigurera portvidarebefordran från den externa servern till behållarna. Till exempel för mappning för example.com:8080att 10.100.0.200:3000mata in följande.

iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 8080 -j DNAT --to 10.100.0.200:3000

Du kan se de aktuella reglerna.

`iptables -t nat -v -L PREROUTING -n --line-number`

Du kan också ta bort en regel efter nummer med följande.

`iptables -t nat -D PREROUTING <#>`.

Separerade behållare

Vi kan nu komma åt en container från en annan.

pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.0.250/24,gw=10.100.0.1
pct start 250
pct enter 250
ping 10.100.0.200

Om du vill begränsa åtkomsten från container 250 till 200 måste du ansluta varje container till en personlig brygga och inaktivera vidarebefordran mellan bryggor.

1. Ta bort befintliga behållare.

   pct stop 200
   pct stop 250
   pct destroy 200
   pct destroy 250
   

2. Ändra innehållet i /etc/network/interfaces.

   auto vmbr1
   iface vmbr1 inet static
       address  10.100.1.1
       netmask  255.255.255.0
       bridge_ports none
       bridge_stp off
       bridge_fd 0
   
   auto vmbr2
   iface vmbr2 inet static
       address  10.100.2.1
       netmask  255.255.255.0
       bridge_ports none
       bridge_stp off
       bridge_fd 0
   

3. reboot systemet

4. Aktivera vidarebefordran

   `sysctl -w net.ipv4.ip_forward=1`
   

   För att göra dessa ändringar permanenta kan du redigera /etc/sysctl.conffilen och hitta följande text.

   #net.ipv4.ip_forward=1
   

   Avkommentera det.

   net.ipv4.ip_forward=1
   

   Du kan också köra för sysctl -patt få ändringarna att träda i kraft omedelbart.

5. Skapa behållare.

   pct create 200 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr1,ip=10.100.1.200/24,gw=10.100.1.1
   pct create 250 /var/lib/vz/template/cache/ubuntu-14.04-standard_14.04-1_amd64.tar.gz -storage local-lvm -net0 name=eth0,bridge=vmbr2,ip=10.100.2.250/24,gw=10.100.2.1
   

6. Starta behållarna med pct start 200och pct start 250.

7. Spola iptablesreglerna.

   iptables -F
   

8. Aktivera NAT.

   iptables --table nat --append POSTROUTING --out-interface vmbr0 -j MASQUERADE
   

   vmbr0 är bryggan som inkluderar externt gränssnitt.

9. Tillåt vidarebefordran från det externa gränssnittet.

   iptables --append FORWARD --in-interface vmbr0 -j ACCEPT
   

10. Tillåt vidarebefordran från behållarna till internet.

    iptables -A FORWARD -i vmbr1 -o vmbr0 -s 10.100.1.0/24 -j ACCEPT
    iptables -A FORWARD -i vmbr2 -o vmbr0 -s 10.100.2.0/24 -j ACCEPT
    

11. Släpp den andra vidarebefordran.

    iptables -A FORWARD -i vmbr1 -j DROP
    iptables -A FORWARD -i vmbr2 -j DROP
    

Kontrollera nu att 10.100.1.200kan pinga 8.8.8.8men inte pinga 10.100.2.250och att 10.100.2.250kan pinga 8.8.8.8men inte pinga 10.100.1.200.

Ordningen på kommandon relaterade till iptables är viktig. Det bästa sättet att använda dina regler är att använda iptables-persistent. Detta paket hjälper dig att spara iptables regler filerna /etc/iptables/rules.v4och /etc/iptables/rules.v6och det kan automatiskt ladda dem efter omstart av systemet. Installera det bara med följande.

apt-get install iptables-persistent

Välj YESnär du uppmanas.