[linux-l] Virtuelle Maschinen und IPv6

Volker Grabsch v at njh.eu
So Aug 25 14:16:29 CEST 2013


Liebe Liste,

ich suche eine möglichst einfache Lösung für folgendes
Problem. Ich weiß, wie ich es in der IPv4-Welt löse [1],
aber bin mir unschlüssig, wie man das für IPv6 angeht:

Ich habe einen Server (Hostsystem) mit einem IPv6-Subnet,
in dem mehrere VMs (Gastsysteme) laufen. Jede VM
bekommt eine permanente IPv6-Adresse aus diesem Subnet,
und das Hostsystem stellt sicher, dass der Traffic
entsprechend geroutet wird.

Schwierigkeitsgrad: Das Hostsystem soll sicherstellen,
dass jede VM jeweils nur ihre IPv6-Adresse geroutet
bekommt und sonst nichts!

Dabei geht es nicht um absurdes "host-based security",
sondern darum, dass keine VM ausversehen der anderen
die IPv6-Adresse wegnehmen kann. Dies soll weder durch
Fehlkonfiguration innerhalb der VM möglich sein, noch
dadurch, dass eine VM aus einer anderen als Klon hervor-
gegangen ist.

Idealerweise sollte es sogar möglich sein, dass zwei
VMs die gleiche virtuelle MAC-Adresse haben, und trotzdem
alles läuft. (Dieses Feature ist jedoch optional.)

Außerdem wäre es super, wenn die VMs nicht auf ihre
IPv6-Adresse konfiguriert werden müssten, sondern sich
diese Info vom Hostsystem holen. Falls möglich per NDP,
sonst per DHCPv6.

Hat jemand von euch solch ein Setup am Laufen, oder
kann mir grob skizzieren, wie das aussehen muss?
Gibt es bekannte Fallstricke, die man beachten muss?

Für jeden Tipp wäre ich dankbar.


Gruß
Volker



[1] Mit IPv4 mache ich das so:

Auf dem Hostsystem gibt's für jede VM ein eigenes
TAP-Device, an dem nur diese VM hängt. Entsprechende
IPTables/Routing-Einträge sorgen dafür, dass Traffic
für die entsprechenden IP-Adressen ins richtige TAP-
Device geroutet wird. Zudem läuft auf dem Hostsystem
ein DHCP-Server, der die entsprechende IP-Adresse zurück
liefert, jenachdem von welchem TAP-Device die Anfrage
kam. Die VMs sind dann so einfach konfiguriert wie nur
möglich: ein einziges Netzwerk-Device, das auf DHCP
konfiguriert ist.

Ich bezweifle jedoch, dass ich dieses 1:1 auf ein
IPv6-Setup übertragen kann. Zudem hoffe ich, dass
in der Welt von IPv6 vielleicht einfachere Wege gibt,
eventuell über eine Netzwerk-Bridge, wo sich dann aber
die Frage stellt, wie man verhindert, dass sich eine
fehlkonfigurierte VM eine fremde IP-Adresse schnappt.

-- 
Volker Grabsch
---<<(())>>---



Mehr Informationen über die Mailingliste linux-l