Hypervizory jsou nástroje používané k vytváření virtuálních strojů (VM) pro hostování služeb, testování a vývoj softwaru v zabezpečeném prostředí. Bohužel tato úroveň zabezpečení je možná pouze úplným sandboxováním virtuálního stroje od fyzického světa, což je problém, pokud projekt potřebuje nějaké síťové propojení.
Z tohoto důvodu hypervizory nabízejí různé síťové režimy, které poskytují síťové možnosti virtuálnímu počítači při zachování určité úrovně zabezpečení. Tyto síťové režimy zahrnují NAT, přemostěné sítě a sítě pouze pro hostitele.
Takže, co přesně jsou režimy NAT, přemostěné a pouze hostitelské sítě? Jak fungují a které byste měli používat?
Co je NAT?
Network Address Translation (NAT) je síťový režim, ve kterém hostitelé překládají IP adresu virtuálního počítače do směrovače, aby se virtuální počítač mohl připojit k internetu.
V zásadě se při připojování k internetu IP adresa VM maskuje IP adresou hostitele. Tento režim neumožňuje propojení mezi VM ani neumožňuje VM komunikovat s jinými fyzickými stroji kromě hostitele.
VM je dán IP adresa prostřednictvím virtuálního serveru DHCP připojeného k fyzický hostitelský síťový modem, nikoli server DHCP z fyzického směrovače. Při každém vytvoření virtuálního počítače se automaticky vytvoří virtuální server DHCP. To znamená, že IP adresa virtuálního počítače používajícího adaptér NAT může mít stejnou IP adresu jako jiný virtuální počítač, aniž by to způsobovalo nějaké problémy. To však také znamená, že každý virtuální počítač hostovaný fyzickým hostitelským počítačem nemůže vzájemně komunikovat, protože sdílí stejnou IP adresu.
V případech, kdy virtuální počítače vyžadují fungující NAT a vzájemné síťové připojení, některé hypervizory, jako je VirtualBox, poskytují možnosti pro režim „síť NAT“.
Co je síť pouze pro hostitele?
Síť pouze pro hostitele poskytuje nejvyšší úroveň zabezpečení sítě výměnou za velmi omezené síťové možnosti. Například síť pouze pro hostitele umožňuje všem virtuálním počítačům a hostitelskému počítači vzájemně se propojit, zatímco jsou odříznuty od fyzické sítě. A protože hostitelský počítač nepřekládá adresy pro virtuální počítače, router jim nemůže poskytnout žádný přístup k internetu.
Síť pouze pro hostitele používá virtuální DHCP server z hostitelského počítače, abyste každému virtuálnímu počítači přidělili jedinečnou IP adresu. MAC adresy se nastavují automaticky, ale pokud chcete, můžete MAC adresu a IP adresu změnit.
Co je to přemostěná síť?
Přemostěná síť je nejtolerantnější ze všech typů síťových připojení.
Umožňuje virtuálnímu počítači síť s jinými virtuálními počítači a všemi fyzickými počítači ve fyzické síti. Přestože přemostěná síť poskytuje virtuálním počítačům všechny síťové funkce, také významně snižuje jeho bezpečnost, protože virtuální počítače jsou také náchylné k síťovým zranitelnostem, podobně jako otevřené fyzická síť.
Přemosťovací adaptér poskytuje každému virtuálnímu počítači jedinečnou IP adresu v rámci fyzické síťové podsítě. VM nezískávají svou IP adresu z virtuálního serveru DHCP, ale z fyzického směrovače ve vaší síti. Chcete-li použít přemostěnou síť, musí uživatel ručně vybrat režim přemostění adaptéru na hypervizoru a nastavit jedinečné adresy MAC pro každý virtuální počítač.
Porovnání sítí NAT, Bridged a Host-only
NAT, přemostěné sítě a sítě pouze pro hostitele jsou tři nejběžnější síťové režimy, které virtuální stroje používají pro připojení. V závislosti na režimu připojení bude mít váš virtuální počítač různé stupně síťových možností. Přestože se IP otevřená všem připojením může zdát pohodlné a užitečné, riziko, které plně otevřené připojení vytváří, za takové pohodlí nestojí. Kromě toho je nastavení správného síťového režimu snadné a lze jej provést během několika sekund.
Důležité je, že musíte pochopit, který síťový režim lépe vyhovuje vašim potřebám. Abychom to lépe pochopili, zde je tabulka, k čemu každý konkrétní síťový režim poskytuje přístup:
Režim sítě |
Přístup k dalším VM |
Přístup k hostiteli |
Přístup k fyzickým strojům |
Přístup na internet |
|---|---|---|---|---|
NAT |
Ne |
Ano (jednosměrná) |
Ne |
Ano |
Přemostěný |
Ano |
Ano |
Ano |
Ano |
Pouze hostitel |
Ano |
Ano |
Ne |
Ne |
NAT vs. Mostový režim vs. Pouze hostitel: Jaký síťový režim použít?
Existuje mnoho praktických aplikací pro použití virtuálního stroje. Mnohé z těchto aplikací jsou obvykle ve formě testovacích, vzdělávacích, vývojových a hostingových služeb.
Na základě tabulky se NAT nemůže připojovat k jiným virtuálním počítačům a počítačům ve fyzické síti. Virtuální počítače nakonfigurované pro použití NAT jsou neviditelné pro fyzické počítače a další virtuální počítače hostované hostitelským počítačem. A protože virtuální počítač v konfiguraci NAT nevidí ostatní stroje, je eliminováno riziko možných útoků skenování portů.
Díky tomu je NAT vhodným síťovým připojením pro testovací projekty, kde je třeba VM izolovat, ale také potřebuje přístup k internetu. Kromě toho mohou NAT používat také zařízení, která používají virtuální počítače jako klienty pro procházení internetu a provádění různých firemních úkolů.
Na druhou stranu konfigurace sítě mostu umožňuje připojení k podobně nastaveným virtuálním počítačům, hostitelskému počítači, fyzickým počítačům na serveru a internetu. Tento režim poskytuje plnou síťovou konektivitu na úkor minimálního zabezpečení. Přemostěná síť je například nezbytná, pokud virtuální počítač hostí webový server, souborový server nebo poštovní server.
Na rozdíl od přemostěné sítě poskytuje síť pouze pro hostitele nejlepší zabezpečení sítě na úkor nízké konektivity. Přemostěná síť umožňuje pouze připojení k hostiteli a dalším virtuálním počítačům. Ačkoli velmi izolovaný, pouze hostitel připojení se nejlépe používá při nastavování privátní virtuální sítě pro testování a učení kybernetická bezpečnost.
Můžete kombinovat různé síťové režimy virtuálních strojů
Testování, vývoj a hostingové služby jsou docela široké oblasti použití virtuálních počítačů. U specializovanějších úloh se však můžete setkat se situacemi, kdy režimy NAT, bridge nebo pouze hostitelské sítě neodpovídají typu připojení, které potřebujete.
Chcete-li přizpůsobit svůj síťový režim, můžete kombinovat režimy připojení. To je možné, protože hypervizory často poskytují virtuálním počítačům čtyři až osm síťových adaptérů. V případě potřeby tedy můžete použít více síťových režimů. Například potřebujete síť, která má připojení k internetu a VM-to-VM a přitom je pro fyzickou síť neviditelná. K vytvoření takového připojení byste zkombinovali NAT a síťový režim pouze pro hostitele.
A to je v podstatě vše, co potřebujete vědět o síťových režimech virtuálních počítačů. Doufejme, že nyní můžete používat a přizpůsobovat své sítě virtuálních počítačů.