Я видел систему, где была физическая машина (назовем ее Hypervizor), на которой было установлено 3-4 гостя. Один из них назывался Брандмауэр, и вы могли добраться до Гипервизора только в том случае, если сначала подключитесь к Брандмауэру по SSH, а затем по Гипервизору. Прямая связь с Гипервизором недоступна, он совершенно недоступен для внешнего мира.
Как я могу сделать то же самое на CentOS 7 с KVM? Какая логика стоит за этим?
Машина гипервизора прослушивает только SSH-соединения во внутренней виртуальной сети. Это можно сделать с помощью привязки интерфейса iptables или sshd .
Компьютер с брандмауэром доступен только по сети, что может быть сделано несколькими способами. Если вы используете open vswitch, вы можете создать другую внутреннюю сеть, доступную из внешней сети. Если вы дадите брандмауэру два интерфейса (только для гипервизора в сети и вне сети), вы можете выполнить эту работу.
