Где указывать IP адреса при создании виртуальной машины KVM через libvirt?

Question

[synapse_people]

Здравствуйте!
Имеется проблема, необходимо создать VPS при этом назначить ему нужные IP адреса. Подскажите, как это вообще происходит..? Допустим я заказал у дата-центра 10 айпи для своей ноды(Тут сразу вопрос, смогут ли 10 айпи идти на 1 сетевую карту?).. И я хочу создать 5 виртуальных машин по 2 айпи...
Походу они как-то выделают на 1 сетевую карту сервера сразу 10 ипов через DHCP.. Допустим, на сервере у etc0 будет 10 ип. Что дальше? Насколько я понял, то примерно такое:
1. Нужно создать мост(bridge)? По 1 штуке для каждой ВМ. br0,br1...br4.
2. Создать 5 сетей(network) n0..n3..n4.
3. Каждой вм назначить свою сеть(потому, что не должно быть связей между ВМ, то есть 1 вм может пинговать только другие свои айпи, а не чужих вм).
Но вопрос остается, где указать список IP?(
Если можно, киньте пошаговую инструкцию в формате *команда* *что она дает*, т.к. реально хочу понять как все работает)
Заранее спасибо за ответы!
*ап*: Забыл еще сказать, что айпи для каждой вм должны быть фиксированные.. То есть при перезагрузке ноды с вдсами, айпи у вдс должны быть те, что назначили изначально именно этой вдс.

Answer 1

[Пума Тайланд]

ну у каждогохостера есть возможность выдать отдельный мак айпишнику и его привязать можно к виртуалке.
а вы какой тоговно огород городите.

Comments

[synapse_people]

Плиз, не могли бы вы подробнее написать как это происходит(выдача ип хостером и связывание с вдс)?

[Пума Тайланд]

synapse_people: ну хостер выдал а вы нужные маки прописали в виртуалках

[synapse_people]

Пума Тайланд: в этом случае вдс должны через мост общатся с роутером/шлюзом хостера напрямую? Будут ли они сами нужные ипы получать(без доп.настройки гостей)?

[Пума Тайланд]

synapse_people: будут сами получать

Answer 2

[Ref]

Для линукс универсально, если прописывать при старте ручками.

#!/usr/bin/bash

##########sets
PATH=$PATH:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin;
export PATH;
echo $PATH;
brc=`which brctl`;
ifcfg=`which ifconfig`;
fcommand=`which sysctl`;
ebt=`which ebtables`;
v=`which vconfig`;
m=`which modprobe`;
r=`which route`;
i=`which ip`;
en=`which ifenslave`;
gw="хххххххххххххххх";
ns="nameserver ххххххххххххх
nameserver 8.8.8.8
nameserver 8.8.4.4";

###########modules
$m 8021q;
поддержка влан если присутствуют

$m bonding miimon=100 mode=1;
поддержка балансировки если таковая присутствует
mode; посмотреть в интернете, число зависит от применяемой технологии на подключаемых портах коммутатора

###########network bridge
#$brc addbr br0;
создаём бридж

#$brc stp br0 off;
отключаем в бридже стп, в том случае если у Вас "тупой коммутатор"

#$brc addif br0 eno1;
добавляем в бридж сетевую карту eno0

#$ifcfg br0 ххх.ххх.ххх.ххх netmask 255.255.255.0 up;
назначаем адрес бриджу + включаем

#$ifcfg eno1 0.0.0.0 promisc up;
включаем без адреса сетевую карту eno1

Вот в этом месте внимание: без включения в мост виртуальных интерфейсов работать не будет.
т.е пока исходный интерфейс или интерфейсы не будет назначены в квм, форвардинг не работает

Для каждой машины не нужно создавать бридж. Достаточно одного. Вот так примерно выглядит подключение через бридж на железке с двумя виртуальными интерфейсами:
# brctl show
bridge name bridge id STP enabled interfaces
br0 8000.XXXXXXXXXXX no eno1
vnet0
vnet1

про sysctl;
Вносим в sysctl.conf или /etc/sysctl.d/{номер меньше су шествующих конфигов }-xxxxxxxxx.conf
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv4.conf.all.forwarding = 1
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.lo.forwarding = 0
net.ipv4.conf.lo.mc_forwarding = 0
net.ipv4.conf.eno1.forwarding = 1
net.ipv4.conf.eno1.mc_forwarding = 0
net.ipv4.ip_forward = 1
net.ipv4.conf.all.arp_accept = 1
net.ipv4.conf.all.arp_announce = 1
net.ipv4.conf.all.arp_filter = 1
net.ipv4.conf.all.arp_ignore = 0
net.ipv4.conf.all.arp_notify = 1
net.ipv4.conf.all.proxy_arp = 1
net.ipv4.conf.all.proxy_arp_pvlan = 1
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.proxy_arp = 1
net.ipv4.conf.default.proxy_arp_pvlan = 1

#########arp+ip фильтр
net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-arptables = 0

Comments

[synapse_people]

Если будет один бридж для нескольких ВМ, то не смогут ли вм перехватить трафик других вм в этом бридже? Или, сможет ли одна вм отобрать айпи у другой вм?: Зачем бридж вообще нужен, что он дает?)

[Ref]

если виртуальные интерфейсы будут в одном бридже... можно сделать что угодно
На Ваш вопрос: бридж для проброса(коммутации) виртуальной сетевой карты, на физический интерфейс один бридж -- ограничение в ведре линукса,
в Вашем случае нужно(наверное) воспользоваться вилан
на вилан в ведре ограничений нет(вроде 4к)

###########network bridge
vconfig add eno1 X
#$brc addbr br0.X;
#$brc addif br0.X eno1.X;
#$ifcfg br0.X ххх.ххх.ххх.ххх netmask 255.255.255.0 up;
#$ifcfg eno1.X 0.0.0.0 promisc up;

возникает вопрос по поводу маршрутизации виланов + дает ли Вам провайдер на порту транзит для них

либо воспользуйтесь натом, с ним вообще всё просто, используется любое доступное устройство
либо маршрутизацией через интерфейс квм свитча

[synapse_people]

Ref: Какие проблемы юзерам приченит NAT? Что с точки зрения безопасности?

[synapse_people]

*Еще поправка: нужно так, чтобы юзеры без проблем могли биндить у себя в вдс любые порты на любых айпи, которые были выделенные для их вдс..

[synapse_people]

И можете ли вы подсказать, где вообще выставляется связь между MAC адресом виртуальной карты машины и реальным внешним айпи адресом?

[Ref]

похоже мы вообще говорим о разных вещах
почитайте течнет(Майкрософт) Azure? или VmWare Virtulization Desktop? или Xen? или самопальный продакшн на линуксе?
я не вижу связи вопроса с технологией
адрес назначается операционной системой гостевой машины; мак назначается гипервизором;
привязка мака и адреса это из другой области

можно поиздеваться следующим образом(если имеется доступ к гипервизору)
каждый гостевой хост забиндить на внешний ip и натить под ним внутреннюю сеть гостевого хоста
на каждом гостевом хосте своя сеть
так пойдёт?))

[Ref]

Вы у провайдера узнавали какая технология виртуализации используется?

[Ref]

вполне возможно что и заморачиваться не стоит ничем кроме деплоя машин

[synapse_people]

Ref: Суть: Я покупаю новый сервер(ноду) для размещения клиентских ВДС серверов на ней. Виртуализация KVM. Управляю через LIBVIRT.

Сейчас я примерно допер следующее: В панели управления дата центра будет примерно такая картина: Таблица IP адресов вида IP адрес, MAC адрес, на который этот айпи ориентирован.

ТУТ еще вопрос: 1 MAC адрес может быть прикручен только к 1 IP? Или можно двум и более айпи назначить 1 мак адрес? Можно ли вообще будет менять MAC самому или это ДЦ решает?

На ноде(хосте) я создаю мост br0 к eth0. Каждой вдс я создаю виртуальный сетевой интерфейс, которому назначаю этот бридж и MAC адрес.
Таким образом получается, что когда вирт.машина будет запущена она залезет в сеть через бридж br0, далее через eth0 она с этим МАКОМ достучится до роутера в ДЦ, который на основании ее МАКА выдаст ей нужный айпи(Просьба поправить, если не так вдуплился).

То есть, чтобы добавить к 1 вдс несколько айпи нужно создать несколько виртуальных сетевых карт(интерфейсов) к этой ВДС, которым указать МАКИ, которые соответствуют айпи, которые выдает ДЦ.
Так? Плиз, поправьте если я туплю..

[synapse_people]

Ref: Походу я еще понял, зачем нужен бридж к физическому интерфейсу.. Типа если будут поизводится удаленные работы над нодой, то бридж можно переконфигурировать при этом eth0 трогать не будут и на хосте не пропадет инет от неверной настройки. Так?

[Ref]

На ноде(хосте) я создаю мост br0 к eth0.
;;так точно
Каждой вдс я создаю виртуальный сетевой интерфейс, которому назначаю этот бридж и MAC адрес.
;;оговорка: не бридж в вдс, а винет-интерфейс в бридж или балансер, мак адрес виртуальному интерфейсу назначается любой, как там с изменением мака и айпи у бриджа хз спросите у провайдера

видимо я понял где у Вас затык ...
для того чтобы передать траффик из виртуальной машины наружу нужен бридж в том плане что
гостевая система не может пересылать пакеты напрямую в сетевую карту гипервизора(т.е. или физически карту ей отдайте, или используйте её как роутер для виртуальной сетевушки), потому что у карты есть свой адрес и мак(естетственно если в арп таблице один мак и много айпи, то как разобрать к какой гостевой системе направляется данный пакет), для этого и используется бридж он в неразборчивом состоянии форвардит пакеты.
если вспомните модуль виртуалбокса то там используется тот же бриджинг, только настраивается без участия пользователя

[Ref]

1 MAC адрес может быть прикручен только к 1 IP?
вообще нет

Или можно двум и более айпи назначить 1 мак адрес?
если посмотреть со стороны общепринятой модели осиай, то звучит несколько по другому: можно назначить на один мак сколько угодно адресов(если память и скорострельность позволят)/ одному айпи несколько маков назначить нельзя

Можно ли вообще будет менять MAC самому или это ДЦ решает?
спросите у провайдера ДЦ

То есть, чтобы добавить к 1 вдс несколько айпи нужно создать несколько виртуальных сетевых карт(интерфейсов) к этой ВДС, которым указать МАКИ, которые соответствуют айпи, которые выдает ДЦ.
Так? Плиз, поправьте если я туплю..

по моему Вам надо почитать для начала свитчинг и роутинг от циско(в сети кучами валяется)
и про ту самую осиай(OSI) не забудьте...

создаёте кучу вирт-интерфесйов суёте в один бридж
интерфейсы раздаёте гостевым системам
ВСЁ

[synapse_people]

Ref: можно ваш контакт плиз(skype/icq/email что-нить)?
Для ВДС я пишу нечто типа такого:
< interface type = ' bridge ' >
< mac address = ' XX:XX:XX:XX:XX:XX ' / >
< source bridge = 'br*цифра* ' / >
< / interface >
Это винет-интерфейс в бридж, верно?

Потом у хостера мне нужно просто изменить привязку IP адреса к МАКУ вдски - XX:XX:XX:XX:XX:XX и сетевуха(xml обьявления выше) в ВДС сама подхватит нужный ип? Или все таки все айпи должны быть закручены на МАК адрес к eth0/br0, а потом на хосте как-то их распределяют?

[Ref]

у Вас тут написано бридж в бридж

[Ref]

wiki.libvirt.org/page/Networking
куча хуков

[synapse_people]

Ref: Можете уточнить, что вы имеете ввиду под "винет-интерфейс" - vnet(virtual network)? То есть для каждой вдс создавать свою виртуальную сеть через бридж?
Просто вы 1 раз пишете "винет-интерфейс" а второй раз "вирт-интерфейсов"

[Ref]

https://libvirt.org/formatnetwork.html
Ваша страничка

[Ref]

Извините без контактов
нет желания

[synapse_people]

Ref: Куда там смотреть в сторону NAT или ROUTED сети(последняя ссылка)? Это точно, что нужно создавать для каждой вдс свою сеть?

[Ref]

вот рабочий иксмлдамп

<domain type='kvm' id='1'>
  <name>karamba</name>
  <uuid>54981f8a-4f7d-4ebd-b8e5-9f836d9be770</uuid>
  <title>karamba</title>
  <memory unit='KiB'>9461760</memory>
  <currentMemory unit='KiB'>9461760</currentMemory>
  <vcpu placement='static'>4</vcpu>
  <resource>
    <partition>/machine</partition>
  </resource>
  <os>
    <type arch='x86_64' machine='pc-i440fx-2.4'>hvm</type>
    <bootmenu enable='yes'/>
  </os>
  <features>
    <acpi/>
    <apic/>
    <hyperv>
      <relaxed state='on'/>
      <vapic state='on'/>
      <spinlocks state='on' retries='8191'/>
    </hyperv>
    <vmport state='off'/>
  </features>
  <cpu mode='host-model'>
    <model fallback='allow'>Haswell-noTSX</model>
    <vendor>Intel</vendor>
    <feature policy='require' name='abm'/>
    <feature policy='require' name='pdpe1gb'/>
    <feature policy='require' name='rdrand'/>
    <feature policy='require' name='f16c'/>
    <feature policy='require' name='osxsave'/>
    <feature policy='require' name='pdcm'/>
    <feature policy='require' name='xtpr'/>
    <feature policy='require' name='tm2'/>
    <feature policy='require' name='est'/>
    <feature policy='require' name='smx'/>
    <feature policy='require' name='vmx'/>
    <feature policy='require' name='ds_cpl'/>
    <feature policy='require' name='monitor'/>
    <feature policy='require' name='dtes64'/>
    <feature policy='require' name='pbe'/>
    <feature policy='require' name='tm'/>
    <feature policy='require' name='ht'/>
    <feature policy='require' name='ss'/>
    <feature policy='require' name='acpi'/>
    <feature policy='require' name='ds'/>
    <feature policy='require' name='vme'/>
  </cpu>
  <clock offset='localtime'>
    <timer name='rtc' tickpolicy='catchup'/>
    <timer name='pit' tickpolicy='delay'/>
    <timer name='hpet' present='no'/>
    <timer name='hypervclock' present='yes'/>
  </clock>
  <on_poweroff>destroy</on_poweroff>
  <on_reboot>destroy</on_reboot>
  <on_crash>destroy</on_crash>
  <pm>
    <suspend-to-mem enabled='no'/>
    <suspend-to-disk enabled='no'/>
  </pm>
  <devices>
    <emulator>/usr/bin/qemu-kvm</emulator>
    <disk type='file' device='cdrom'>
      <driver name='qemu' type='raw'/>
      <source file='/var/lib/libvirt/images/XXXXXXXXXXXXXXXXXXXXXXXXXXXX'/>
      <backingStore/>
      <target dev='hdb' bus='ide'/>
      <readonly/>
      <boot order='2'/>
      <alias name='ide0-0-1'/>
      <address type='drive' controller='0' bus='0' target='0' unit='1'/>
    </disk>
    <disk type='file' device='disk'>
      <driver name='qemu' type='qcow2'/>
      <source file='/var/lib/libvirt/images/XXXXXX.qcow2'/>
      <backingStore/>
      <target dev='hdc' bus='ide'/>
      <boot order='1'/>
      <alias name='ide0-1-0'/>
      <address type='drive' controller='0' bus='1' target='0' unit='0'/>
    </disk>
    <controller type='usb' index='0' model='ich9-ehci1'>
      <alias name='usb'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x05' function='0x7'/>
    </controller>
    <controller type='usb' index='0' model='ich9-uhci1'>
      <alias name='usb'/>
      <master startport='0'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x05' function='0x0' multifunction='on'/>
    </controller>
    <controller type='usb' index='0' model='ich9-uhci2'>
      <alias name='usb'/>
      <master startport='2'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x05' function='0x1'/>
    </controller>
    <controller type='usb' index='0' model='ich9-uhci3'>
      <alias name='usb'/>
      <master startport='4'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x05' function='0x2'/>
    </controller>
    <controller type='ide' index='0'>
      <alias name='ide'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x01' function='0x1'/>
    </controller>
    <controller type='virtio-serial' index='0'>
      <alias name='virtio-serial0'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x04' function='0x0'/>
    </controller>
    <controller type='pci' index='0' model='pci-root'>
      <alias name='pci.0'/>
    </controller>
    <interface type='bridge'>
      <mac address='XXXXXXXXXXXXXXXXXXXXXXXXXXXX'/>
      <source bridge='br0'/>
      <target dev='vnet0'/>
      <model type='e1000'/>
      <alias name='net0'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
    </interface>
    <serial type='pty'>
      <source path='/dev/pts/0'/>
      <target port='0'/>
      <alias name='serial0'/>
    </serial>
    <console type='pty' tty='/dev/pts/0'>
      <source path='/dev/pts/0'/>
      <target type='serial' port='0'/>
      <alias name='serial0'/>
    </console>
    <channel type='spicevmc'>
      <target type='virtio' name='com.redhat.spice.0' state='disconnected'/>
      <alias name='channel0'/>
      <address type='virtio-serial' controller='0' bus='0' port='1'/>
    </channel>
    <input type='tablet' bus='usb'>
      <alias name='input0'/>
    </input>
    <input type='mouse' bus='ps2'/>
    <input type='keyboard' bus='ps2'/>
    <graphics type='spice' port='5900' autoport='no' listen='0.0.0.0'>
      <listen type='address' address='0.0.0.0'/>
      <image compression='off'/>
    </graphics>
    <video>
      <model type='qxl' ram='65536' vram='65536' vgamem='16384' heads='1'/>
      <alias name='video0'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x02' function='0x0'/>
    </video>
    <redirdev bus='usb' type='spicevmc'>
      <alias name='redir0'/>
    </redirdev>
    <redirdev bus='usb' type='spicevmc'>
      <alias name='redir1'/>
    </redirdev>
    <memballoon model='virtio'>
      <alias name='balloon0'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x06' function='0x0'/>
    </memballoon>
  </devices>
</domain>

https://docs.fedoraproject.org/ru-RU/Fedora/12/htm...

[Ref]

Синапс Вы извините, но я не настолько крут чтобы создавать виртуалки из иксмл файлов.
Обычно я настраиваю сеть руками(пример выше)
А машинки тупо делаю вирт-менеджером(virt-manager)

[synapse_people]

Ref: Спасибо за XML. А что это за vnet0 такое?

[Ref]

в гипервизоре транслятор виртуальной сетевушки
из по адресу в вм

[synapse_people]

Ref: Virtual Network?

[Ref]

да

Answer 3

[Влад Животнев]

https://debian.pro/1345 читайте, как раз тот случай.

Только bridge-utils поставить не забудьте.

Comments

[synapse_people]

То есть на сколько я понял, я должен раздавать вдсам локальные айпи из того, что выдаст мне ДЦ? А потом, на уровне выше(роутеры или че там у них) они будут преобразованны в публиные IP? Как быть если айпи отсыпают поштучно?* Я Реально не знаю как это происходит*

[synapse_people]

То есть получается, в DHCP созданной в libvirt сети,где таблица айпи адресов вида MAC=>IP я должен назначать вдс локальный айпи, который потом будет каким-то средством интерпретирован в белый айпи(вне моего сервера) ?

[Влад Животнев]

synapse_people: статью-то может прочитаете? Если вы у хостера взяли белые адреса - их и выдавайте машинам. И лучше без dhcp.

[synapse_people]

Влад Животнев: Я читал, но все равно не понятно, в статье написали "2) целиком подсети 198.51.100.0/28 и 198.51.100.96/28" - ведь эти айпи локальные. И там производят модификацию вдсок, а мне нужно, чтобы они сами получали айпи адреса(т.е. ничего руками в них не редактировать).

[Влад Животнев]

synapse_people: в каком месте они локальные? Это example IP addresses rfc

[synapse_people]

Влад Животнев: То есть на самом деле на их месте должны быть публиные айпи, т.е. реальные?

[synapse_people]

Влад Животнев: Не опасно ли кстати давать всем вдсам один бридж? Т.е. не смогут ли соседи на ноде спереть траф или забрать себе чужой айпи?

[Влад Животнев]

synapse_people: да.

cogumbreiro.blogspot.ru/2013/11/setting-up-fixed-s... здесь пример того, как адреса выдавать через dhcp

[Влад Животнев]

synapse_people:

https://libvirt.org/firewall.html защищает от "захвата" IP.

[Влад Животнев]

парсер лох, no-ip-spoofing на той странице поищите.

[synapse_people]

Влад Животнев: Вот теперь мне все ясно, спасибо большое!
Кстати, я так понял, что айпи для ВДС по маку выдавать могут 2 вещи: роутер дата центра и сам хост(нода). В случае, если айпи для ВДС выдает роутер ДЦ, то писать мак вдски нужно соответственно в нем. А если хост, то нужно в роутере указать все айпи на мак адрес eth0(или br0?) ноды, и потом уже на ноде самому при помощи DHCP(или статикой внутри ВДС) выдавать айпи. Так же?
Точно можно указать в DHCP серваке на 1 мак адрес 2 и более айпи адресов?

[Влад Животнев]

synapse_people: в бридже машины с роутером обращаются напрямую (ну при условии, что маршрут через него, а не через IP на бридже, как для собственной подсети в статье). Так что тогда мак виртуалке нужно задавать тот, который выдан в virtual mac хостером (и в dhcp его тоже прописывать).

2 адреса по dhcp выдать на одну сетевую карту виртуалки, емнип, нельзя. Да и если адрес выдадите - маршрутизацию руками настраивать всё равно придется.

[synapse_people]

Влад Животнев: Вот в virt-manager меня конкретно сбивает Виртуальные сети, все примеры показывают, что там внутри айпи локальные. Вот даже ваш cogumbreiro.blogspot.ru/2013/11/setting-up-fixed-s... , вот указывают , что у вирт.сетевого интерфейса с МАК 00:00:00:00:00:00 будет 192.168.122.2 айпи. Или тут тоже можно указать публичные адреса??

[synapse_people]

Влад Животнев: как можно по максимому автоматизировать выдачу айпи адресов?) Как вообще выдают 2 адреса на 1 виртуальную машину другие? 2-а сетевых интерфейса создают и каждому по маку выдают нужные айпи?

[Влад Животнев]

synapse_people: если хост настроен по моему мануалу - можно использовать белые адреса.

> Как вообще выдают 2 адреса на 1 виртуальную машину другие
"Другие" не используют dhcp, конфигурация сети прописывается внутри гостевой системы. Второй адрес люди тоже сами настраивают внутри машины так, как им это удобно.

[synapse_people]

Влад Животнев: А можете еще подсказать, https://libvirt.org/firewall.html мне команда virsh nwfilter-list выдает много стандартных фильтров, их надо как-то применять к каждой вдс или они глобально на всех работают?

Answer 4

[Melkij]

1 вм может пинговать только другие свои айпи, а не чужих вм

И нафига вам тогда внешние адреса заказывать?

Comments

[synapse_people]

Сорри, имел ввиду, чтобы виртуальные машины не знали о существовании других машин на физическом сервере... Хотя это не основная проблема, но будет хорошо, если не будут знать о других..

[Melkij]

Создаёте один мост, в который добавляете реальную сетевую карту сервера и свои виртуалки. IP назнаете там где они нужны. Нужен в виртуалке - в самой виртуалке и назначаете. Не забудьте что-нибудь оставить для связи с хостовой системой.
Виртуалки будут думать, что они находятся в одном L2 сегменте. Может, вся стойка к нему же подключена.

Либо роутингом. Для libvirt погуглите routed mode

[synapse_people]

Melkij: Ок, погуглю. А как бы вы делали, с учетом того, что виртуальные машины это клиентские вдс'ы и нужно обеспечить максимальную степень защиты ноды+самих вдс и изоляцию их друг от друга?
А если без модификаций внутри вм, как назначать ип?