Hipervizorji so orodja, ki se uporabljajo za ustvarjanje virtualnih strojev (VM) za gostovanje storitev, testiranje in razvoj programske opreme v varnem okolju. Na žalost je ta raven varnosti mogoča samo s popolno ločitvijo virtualnega stroja od fizičnega sveta, kar je težava, če projekt potrebuje kakršno koli povezovanje v omrežje.
Zaradi tega hipervizorji ponujajo različne omrežne načine za zagotavljanje omrežnih zmogljivosti za VM, hkrati pa ohranjajo določeno raven varnosti. Ti omrežni načini vključujejo NAT, premostitvena omrežja in omrežja samo za gostitelje.
Torej, kaj točno so načini omrežja NAT, premoščeni načini in načini samo gostitelja? Kako delujejo in katere bi morali uporabiti?
Kaj je NAT?
Prevajanje omrežnih naslovov (NAT) je omrežni način, pri katerem gostitelji prevedejo naslov IP VM v usmerjevalnik, da se VM lahko poveže z internetom.
V bistvu se pri povezovanju z internetom naslov IP VM zakrije z naslovom IP gostitelja. Ta način ne dovoljuje medsebojne povezave med VM-ji, niti VM-ju ne omogoča komunikacije z drugimi fizičnimi stroji razen z gostiteljem.
VM dobi an IP naslov prek virtualnega strežnika DHCP, povezanega z omrežni modem fizičnega gostitelja, ne strežnik DHCP iz fizičnega usmerjevalnika. Navidezni strežnik DHCP se samodejno ustvari vsakič, ko je izdelan navidezni stroj. To pomeni, da ima lahko naslov IP VM, ki uporablja vmesnik NAT, enak naslov IP kot drug VM, ne da bi pri tem povzročal kakršne koli težave. Vendar to tudi pomeni, da vsak VM, ki ga gosti fizični gostiteljski stroj, ne more komunicirati drug z drugim, ker si delita isti IP.
V primerih, ko VM zahtevajo delujoč NAT in medsebojno omrežno povezavo, nekateri hipervizorji, kot je VirtualBox, ponujajo možnosti za način »omrežje NAT«.
Kaj je omrežje samo za gostitelja?
Omrežje samo gostitelja zagotavlja najvišjo raven varnosti omrežja v zameno za zelo omejene omrežne zmogljivosti. Na primer, gostiteljsko omrežje omogoča vsem navideznim računalnikom in gostiteljskemu računalniku medsebojno mreženje, medtem ko so odrezani od fizičnega omrežja. In ker gostiteljski stroj ne prevede naslova za VM, jim usmerjevalnik ne more zagotoviti dostopa do interneta.
Omrežje samo gostitelja uporablja virtualni strežnik DHCP iz gostiteljskega računalnika, da vsakemu VM dodeli edinstven naslov IP. Naslovi MAC so samodejno nastavljeni, vendar lahko spremenite naslov MAC in naslov IP, če želite.
Kaj je premostitveno omrežje?
Premostitveno omrežje je najbolj dovoljeno od vseh vrst omrežnih povezav.
Navideznemu stroju omogoča mreženje z drugimi navideznimi računalniki in vsemi fizičnimi stroji v fizičnem omrežju. Čeprav premoščeno omrežje zagotavlja navideznim strojem vse omrežne funkcije, tudi pomembno zmanjša njegovo varnost, saj so navidezni računalniki dovzetni tudi za omrežne ranljivosti, podobno kot odprti fizično omrežje.
Premostitveni adapter vsakemu navideznemu stroju zagotavlja edinstven naslov IP znotraj fizičnega omrežnega podomrežja. VM ne dobijo naslova IP od virtualnega strežnika DHCP, ampak od fizičnega usmerjevalnika v vašem omrežju. Za uporabo premostitvenega omrežja mora uporabnik ročno izbrati način premostitvenega vmesnika na hipervizorju in nastaviti edinstvene naslove MAC za vsak VM.
Primerjava omrežij NAT, Bridged in Host-only
NAT, premostitvena omrežja in omrežja samo za gostitelje so trije najpogostejši načini povezovanja, ki jih virtualni stroji uporabljajo za povezljivost. Vaš navidezni stroj bo imel različne stopnje omrežnih zmogljivosti, odvisno od načina povezave. Čeprav se morda zdi, da je IP odprt za vse povezave priročno in uporabno, tveganje, ki ga ustvari popolnoma odprta povezava, ni vredno udobja. Poleg tega je nastavitev pravilnega omrežnega načina enostavna in jo lahko izvedete v nekaj sekundah.
Pomembno je, da morate razumeti, kateri način omrežja bolje ustreza vašim potrebam. Da boste lažje razumeli, je tukaj tabela o tem, do česa posamezni omrežni način omogoča dostop:
Omrežni način |
Dostop do drugih VM-jev |
Dostop do gostitelja |
Dostop do fizičnih strojev |
Dostop do interneta |
|---|---|---|---|---|
NAT |
št |
Da (enosmerno) |
št |
ja |
Premostitveni |
ja |
ja |
ja |
ja |
Samo gostitelj |
ja |
ja |
št |
št |
NAT vs. Premostitveni način vs. Samo gostitelj: kateri omrežni način uporabiti?
Obstaja veliko praktičnih aplikacij za uporabo virtualnega stroja. Mnoge od teh aplikacij so običajno v obliki storitev testiranja, izobraževanja, razvoja in gostovanja.
Na podlagi tabele je NAT omejen na povezovanje z drugimi VM-ji in napravami v fizičnem omrežju. Navidezni računalniki, konfigurirani za uporabo NAT, so nevidni za fizične stroje in druge navidezne stroje, ki jih gosti gostiteljski stroj. In ker VM v konfiguraciji NAT drugi stroji ne morejo videti, je tveganje morebitnih napadov skeniranja vrat odpravljeno.
Zaradi tega je NAT primerna omrežna povezava za testiranje projektov, kjer mora biti VM izoliran, vendar potrebuje tudi dostop do interneta. Poleg tega lahko NAT uporabljajo tudi ustanove, ki uporabljajo VM kot odjemalce za brskanje po internetu in opravljanje različnih nalog podjetja.
Po drugi strani konfiguracija premostitvenega omrežja omogoča povezavo s podobno nastavljenimi VM-ji, gostiteljskim strojem, fizičnimi stroji na strežniku in internetom. Ta način zagotavlja popolno omrežno povezljivost na račun najmanjše varnosti. Na primer, premostitveno omrežje je potrebno, če virtualni stroj gosti spletni strežnik, datotečni strežnik ali poštni strežnik.
V nasprotju s premostitvenim omrežjem zagotavlja omrežje samo gostitelj najboljšo varnost omrežja na račun nizke povezljivosti. Premoščeno omrežje omogoča samo povezavo z gostiteljem in drugimi VM-ji. Čeprav je zelo izoliran, samo gostitelj povezavo je najbolje uporabiti pri nastavljanju zasebnega virtualnega omrežja za testiranje in učenje Spletna varnost.
Kombinirate lahko različne omrežne načine navideznega stroja
Storitve testiranja, razvoja in gostovanja so precej široka področja uporabe virtualnih strojev. Vendar pa lahko pri bolj specializiranih nalogah naletite na situacije, ko načini NAT, most ali samo gostiteljsko omrežje ne ustrezajo vrsti povezave, ki jo potrebujete.
Da se prilagodite svojemu omrežnemu načinu, lahko kombinirate načine povezave. To je mogoče, saj hipervizorji pogosto dajejo virtualnim strojem štiri do osem omrežnih adapterjev. Tako lahko po potrebi uporabite več omrežnih načinov. Na primer, potrebujete omrežje, ki ima internetno povezavo in povezavo VM-to-VM, medtem ko je nevidno za fizično omrežje. Za ustvarjanje takšne povezave bi združili NAT in omrežni način samo gostitelja.
In to je pravzaprav vse, kar morate vedeti o omrežnih načinih VM. Upajmo, da lahko zdaj uporabljate in prilagajate svoja omrežja VM.
