这个问题显然以许多不同的形式被问过很多次,但我找不到我所拥有的具体计划的实际答案。我们经营着一个受欢迎的欧洲商业交易网站,并且从甚至无法参与我们提供的交易的国家/地区获得大量传入注册/流量(并且许多零售商甚至在西欧以外都不为人所知)。
我已经确定了阻止大量此类流量的问题区域,但是(正如预期的那样)需要数千个 IP 范围。
我现在的问题(终于!)。在测试服务器上,我创建了一个脚本来阻止 iptables 内的每个范围,但是添加规则所花费的时间很长,然后 iptables 在此之后没有响应(尤其是在尝试 iptables -L 时)。
阻止大量 IP 范围的最有效方法是什么:
我之前已经设置了几个基于 KVM 的网络,但从未遇到过这个问题,我一生都无法想象我以前会设置什么不同的网络。
设置
基本上,我已经完全拥有戴尔堆栈:
所有机器都运行 CentOS6.5,hypervisor,基本上是标准安装,有一些 sysctl 调整。
目前,我有一些测试 VM 的设置,它们的设置与它们的主机相似(CentOS 6.X,基本安装带有基本的 puppet 驱动配置)。所有虚拟机都是:
所有 VM 都使用 virtio 来处理网络、块设备(基本上是运行 virt-install 命令的标准结果)——例如(例如 libvirt 配置)
Run Code Online (Sandbox Code Playgroud)<interface type='bridge'> <mac address='52:54:00:11:a7:f0'/> <source bridge='dmzbr0'/> <model type='virtio'/> <address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/> </interface>
并且所有 VM 都可以访问 2 到 8 个 VCPU 以及 8 到 64GB 的 RAM,并且它们的驱动器是主机上的 LVM 卷
VM 中的一些简单文件副本和 dd 测试产生了完全可以接受的结果(在这些小规模综合测试中为 300MB/s - 800MB/s)
物理机之间的网络性能
我现在已经离开了 Jumbo …
这是我第一次使用 Redhat Enterprise Virtualisation Manager 和 Redhat Hypervisor,在通常采用一组 Redhat/CentOS KVM 主机的更本土方法之后。我们的 SAN 设备通过 ATA 以太网 (AoE) 工作,以提供看起来像块级存储设备的直接到机器。
在我可以通过物理控制台访问完整的操作系统的情况下,这很好。但是当它是简单的管理程序时,我似乎只能连接到网络 (NFS) 或 iSCSI 级别的存储。
这甚至可能来自 RHEVM 吗?