KVM高防服务器搭建路线图
一 架构与前置准备
- 架构要点
- 采用KVM作为虚拟化底座,创建业务VM承载应用;宿主机仅暴露必要端口,尽量不在宿主机上直接跑业务。
- 网络优先使用桥接 br0,让虚拟机与宿主机处于同一二层网段,便于边界防护设备(如高防IP/WAF/ADS)识别与联动。
- 边界接入建议:上游由运营商/云厂商高防清洗,回注到宿主机br0;或采用DNAT端口映射到VM,并在宿主机做最小端口放行。
- 硬件与系统
- 开启Intel VT-x/AMD-V硬件虚拟化(BIOS 中启用 Virtualization Technology)。
- 宿主机建议:CentOS 7.9 最小化(或兼容发行版),CPU≥4核、内存≥8GB、数据盘≥100GB(按业务扩展)。
- 若是云上ECS,优先选择带高防/清洗能力的实例规格或购买独立高防包。
- 基础检查与组件
- 检查虚拟化支持:
egrep -o '(vmx|svm)' /proc/cpuinfo - 安装KVM与管理工具:
yum install -y qemu-kvm libvirt libvirt-python libguestfs-tools virt-install - 启动服务:
systemctl start libvirtd && systemctl enable libvirtd - 验证:
virsh list --all 应可见 libvirt 管理状态。
二 宿主机网络与存储配置
- 网桥 br0(推荐)
- 创建网桥(示例为静态IP,按需改为DHCP):
- /etc/sysconfig/network-scripts/ifcfg-br0
TYPE=Bridge
BOOTPROTO=static
DEVICE=br0
ONBOOT=yes
IPADDR=192.168.7.45
NETMASK=255.255.255.0
GATEWAY=192.168.7.254
DNS1=223.6.6.6
DEFROUTE=yes
NM_CONTROLLED=yes
- 绑定物理网卡(以 ens160 为例):
- /etc/sysconfig/network-scripts/ifcfg-ens160
TYPE=Ethernet
BOOTPROTO=none
DEVICE=ens160
ONBOOT=yes
BRIDGE=br0
NM_CONTROLLED=yes
- 生效:
systemctl restart network;验证:ip addr show br0、brctl show。 - 存储与目录
- 挂载数据盘(示例):
mkfs.ext4 /dev/sdb && mkdir -p /kvm_data && mount /dev/sdb /kvm_data- 写入
/etc/fstab:/dev/sdb /kvm_data ext4 defaults 0 0 - 镜像与磁盘:ISO 放
/kvm_data/iso,VM 磁盘放 /kvm_data/vm。
三 创建业务虚拟机
- 准备磁盘
qemu-img create -f qcow2 /kvm_data/vm/web01.qcow2 40G- 安装系统(示例:桥接网络 + VNC)
- Linux:
virt-install \
--virt-type kvm --name web01 --ram 2048 --vcpus 2 \
--disk path=/kvm_data/vm/web01.qcow2,format=qcow2 \
--cdrom /kvm_data/iso/CentOS-7-x86_64-Minimal-1810.iso \
--network bridge=br0,model=virtio \
--graphics vnc,listen=0.0.0.0,port=5901 \
--noautoconsole --os-type=linux --os-variant=rhel7
- Windows(半虚拟化网卡建议用 virtio,先加载驱动):
virt-install \
--virt-type kvm --name win01 --ram 4096 --vcpus 4 \
--disk path=/kvm_data/vm/win01.qcow2,format=qcow2 \
--cdrom /kvm_data/iso/Win10.iso \
--network bridge=br0,model=virtio \
--graphics vnc,listen=0.0.0.0,port=5902 \
--noautoconsole --os-type=windows --os-variant=win10
- 常用运维
virsh list --all、virsh start/stop/destroy web01、virsh autostart web01、virsh edit web01- 查看VNC端口:
virsh vncdisplay web01(默认从5900起递增)。
四 高防接入与防护策略
- 接入方式
- 方案A(推荐):上游高防清洗回注到宿主机br0(同网段),业务VM使用内网IP,边界仅暴露高防节点与必要管理端口。
- 方案B:DNAT端口映射(示例将公网TCP 443 映射到 VM 10.0.0.10:443)
- 在宿主机或边界防火墙做 DNAT:
iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 10.0.0.10:443 - 回程放行:
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE - 最小化暴露与端口管理
- 宿主机仅放行:SSH(22/2222)、高防回注端口、必要的监控/带外端口;业务端口由高防或边界防火墙策略控制。
- 禁用不必要服务,限制 root 直登,使用密钥登录与跳板机。
- 主机加固
- 保持系统与安全组件更新;开启日志审计与入侵检测;为关键目录设置最小权限与完整性校验。
- 应用与系统层防护
- 在业务VM内启用WAF/IPS(如 ModSecurity、fail2ban)、限流/熔断、最小权限与补丁管理;数据库与应用分离、开启TLS。
- 监控与演练
- 监控:主机资源(CPU/内存/IO/连接数)、网络流量异常、DDoS告警;定期攻防演练与应急预案演练。
五 常见问题与快速排查
- 虚拟化未启用:BIOS 打开 VT-x/AMD-V;
egrep -o '(vmx|svm)' /proc/cpuinfo 无输出需检查硬件/虚拟化开关。 - 网桥不通:
brctl show 检查是否把物理口加入 br0;ip addr 确认 br0 拿到网关;路由与上游设备是否放行对应网段。 - VNC 连不上:
virsh vncdisplay 看端口;宿主机与边界防火墙放行该端口;netstat -antlp | grep 59xx 检查监听。 - 权限问题:镜像/磁盘目录属主应为 qemu:qemu;
chown -R qemu:qemu /kvm_data。 - 安装组件失败(CentOS 7.9):默认 YUM 源不可用,需切换到 Vault 归档源后再安装 KVM 组件。
