Как грамотно отделить трафик для виртуалок и хоста KVM?

Question

[Godless]

В принципе все просто - есть KVM хост, на нем 2-3 свои службы + несколько виртуалок.

На хосте сетевуха одна. IP серый, за NATом. Условно х.х.х.1/24. Из тырнета на этот адрес проброшено несколько портов, в т.ч. 80 и 443.
Виртуалки имею внутри хоста адреса y.y.y.0/24 и соответственно через NAT выходят в сеть.
Надо: отделить трафик виртуальных машин и хоста. Чтобы виртуальные машины друг друга не видели и не видели хоста.

Ситуацию осложняет nginx который маршрутизирует весь веб трафик до виртуалок (и хоста! на хосте тоже есть веб ресурсы). Сайтов много, все HTTPS, IP один, поэтому надо SNI, т.е. единый nginx необходим.

Вопрос: как это грамотно сделать?
Намеренно не буду писать свои соображения, решений пару имею в голове, но все чего-то да не то...

Answer 1

[Армянское Радио]

VLAN, мосты, NGINX в отдельной виртуалке.

Comments

[Godless]

На хосте есть веб ресурсы, надо чтоб они были доступны даже без Libvirt'а

[Армянское Радио]

Godless: плохая практика. Хост должен быть только хостом.

[Godless]

Армянское Радио: я вообще смотрел в сторону ip netns и VLAN + openvswitch. Но что бы я не придумывал, мне нужна единая точка входа для nginx. Еще я не могу с хоста убрать часть сервисов. они должны быть в сети и на хосте.
Хорошо, допустим я могу nginx убрать в docker или lxc. Но это ничего не меняет...

[Армянское Радио]

Godless: NAT, через который к вам поступает Интернет, вам подконтролен?

[Godless]

Армянское Радио: да, это роутер) к сожалению со стандартной прошивкой. Т.е. vlan & ip netns & iptables там не сделать. Но я могу поставить дополнительно старый 3COM управляемый. Со всеми вытекающими... Вот только nginx там не развернуть))

[Армянское Радио]

Godless: пустите на роутере HTTP в отдельный VLAN, а на хосте заверните NGINX в виртуалку