A hipervizorok olyan eszközök, amelyeket virtuális gépek (VM-ek) létrehozására használnak tárhelyszolgáltatásokhoz, teszteléshez és szoftverfejlesztéshez biztonságos környezetben. Sajnos ez a biztonsági szint csak akkor lehetséges, ha a virtuális gépet teljesen sandboxba helyezzük a fizikai világból, ami probléma, ha a projektnek bármilyen hálózatra van szüksége.
Emiatt a hipervizorok különféle hálózati módokat kínálnak, hogy hálózati képességeket biztosítsanak a virtuális gép számára, miközben megőriznek bizonyos szintű biztonságot. Ezek a hálózati módok magukban foglalják a NAT-ot, az áthidalt és a csak gazdagépen működő hálózatokat.
Tehát pontosan mik azok a NAT, áthidaló és csak gazdagépen működő hálózati módok? Hogyan működnek, és melyiket érdemes használni?
Mi az a NAT?
A hálózati címfordítás (NAT) egy olyan hálózati mód, amelyben a gazdagépek lefordítják a virtuális gép IP-címét az útválasztóra, hogy a virtuális gép csatlakozhasson az internethez.
Alapvetően az internethez való csatlakozáskor a virtuális gép IP-címét elfedi a gazdagép IP-címe. Ez a mód nem teszi lehetővé a virtuális gépek közötti összekapcsolást, és nem teszi lehetővé a virtuális gépek számára, hogy a gazdagépen kívül más fizikai gépekkel kommunikáljanak.
A VM kap egy IP-cím egy virtuális DHCP-kiszolgálón keresztül, amelyhez kapcsolódik a fizikai gazdagép hálózati modemje, nem pedig a fizikai útválasztó DHCP-kiszolgálója. Egy virtuális DHCP-kiszolgáló automatikusan létrejön, amikor virtuális gépet készítenek. Ez azt jelenti, hogy a NAT-adaptert használó virtuális gép IP-címe probléma nélkül ugyanazzal az IP-címmel rendelkezhet, mint egy másik virtuális gép. Ez azonban azt is jelenti, hogy a fizikai gazdagép által üzemeltetett virtuális gépek nem kommunikálhatnak egymással, mert ugyanazon az IP-címen osztoznak.
Azokban az esetekben, amikor a virtuális gépek működő NAT-ot és egymással hálózati kapcsolatot igényelnek, néhány hipervizor, például a VirtualBox, lehetőséget biztosít a „NAT hálózati” módra.
Mi az a csak gazdagépen működő hálózat?
A csak gazdagépen működő hálózat a legmagasabb szintű hálózati biztonságot nyújtja a nagyon korlátozott hálózati képességekért cserébe. Például egy csak gazdagépen működő hálózat lehetővé teszi, hogy az összes virtuális gép és a gazdagép hálózatot létesítsen egymással, miközben le van választva a fizikai hálózatról. És mivel a gazdagép nem fordítja le a virtuális gépek címét, az útválasztó nem tud számukra internet-hozzáférést biztosítani.
Csak gazdagépen működő hálózat virtuális DHCP szervert használ a gazdagépről, hogy minden virtuális gépnek egyedi IP-címet adjon. A MAC-címek beállítása automatikusan történik, de a MAC-címet és az IP-címet módosíthatja, ha akarja.
Mi az a hídhálózat?
A hídhálózat a legmegengedőbb az összes hálózati kapcsolattípus közül.
Lehetővé teszi a virtuális gépek számára, hogy más virtuális gépekkel és a fizikai hálózat összes fizikai gépével hálózatba kapcsolódjanak. Bár az áthidalt hálózat az összes hálózati funkciót biztosítja a virtuális gépek számára, jelentős mértékben csökkenti a biztonságát, mivel a virtuális gépek is érzékenyek a hálózati sebezhetőségekre, hasonlóan a nyílt fizikai hálózat.
A hídadapter minden virtuális gépnek egyedi IP-címet biztosít a fizikai hálózati alhálózaton belül. A virtuális gépek IP-címüket nem egy virtuális DHCP-kiszolgálótól kapják, hanem a hálózat fizikai útválasztójától. Áthidalt hálózat használatához a felhasználónak manuálisan kell kiválasztania az áthidaló adapter módot a hypervisoron, és egyedi MAC-címeket kell beállítania minden egyes virtuális géphez.
A NAT, a Bridged és a Host-only hálózatok összehasonlítása
A NAT, az áthidalt és a csak gazdagép hálózatok a három leggyakoribb hálózati mód, amelyet a virtuális gépek a csatlakozáshoz használnak. A csatlakozási módtól függően a virtuális gép különböző szintű hálózati képességekkel rendelkezik. Bár az összes kapcsolat számára nyitott IP-cím kényelmesnek és hasznosnak tűnhet, a teljesen nyitott kapcsolat kockázata nem éri meg a kényelmet. Emellett a megfelelő hálózati mód beállítása egyszerű, és néhány másodperc alatt elvégezhető.
A fontos dolog az, hogy meg kell értenie, melyik hálózati mód felel meg jobban az Ön igényeinek. Annak érdekében, hogy könnyebben megértse, itt van egy táblázat arról, hogy az egyes hálózati módok mihez biztosítanak hozzáférést:
Hálózati mód |
Hozzáférés más virtuális gépekhez |
Hozzáférés a gazdagéphez |
Hozzáférés a fizikai gépekhez |
Internet-hozzáférés |
|---|---|---|---|---|
NAT |
Nem |
Igen (egyirányú) |
Nem |
Igen |
Áthidalt |
Igen |
Igen |
Igen |
Igen |
Csak fogadó |
Igen |
Igen |
Nem |
Nem |
NAT vs. Áthidalt mód vs. Csak gazdagép: melyik hálózati módot használja?
Számos gyakorlati alkalmazás létezik a virtuális gépek használatára. Ezen alkalmazások közül sok általában tesztelési, oktatási, fejlesztési és tárhelyszolgáltatás formájában jelenik meg.
A táblázat alapján a NAT nem csatlakozhat más virtuális gépekhez és a fizikai hálózaton lévő gépekhez. A NAT használatára konfigurált virtuális gépek láthatatlanok a fizikai gépek és a gazdagép által üzemeltetett egyéb virtuális gépek számára. És mivel a NAT konfigurációban lévő virtuális gépet más gépek nem láthatják, az esetleges portellenőrzési támadások kockázata megszűnik.
Ez teszi a NAT-ot megfelelő hálózati kapcsolattá olyan projektek teszteléséhez, ahol a virtuális gépet el kell különíteni, de internet-hozzáférést is igényel. Ezenkívül a NAT-ot a virtuális gépeket kliensként használó létesítmények is használhatják az internet böngészésére és különféle vállalati feladatok elvégzésére.
Másrészt a hídhálózati konfiguráció lehetővé teszi a csatlakozást a hasonlóan beállított virtuális gépekhez, a gazdagéphez, a kiszolgálón lévő fizikai gépekhez és az internethez. Ez a mód teljes hálózati kapcsolatot biztosít a legkisebb biztonság rovására. Például egy áthidalt hálózatra van szükség, ha egy virtuális gép webszervert, fájlszervert vagy levelezőszervert tartalmaz.
Az áthidalt hálózattal ellentétben a csak gazdagépen működő hálózat a legjobb hálózati biztonságot nyújtja az alacsony kapcsolat rovására. A hídhálózat csak a gazdagéphez és más virtuális gépekhez való csatlakozást teszi lehetővé. Bár nagyon elszigetelt, csak házigazda kapcsolat akkor a legjobb, ha privát virtuális hálózatot hoz létre tesztelés és tanulás céljából kiberbiztonság.
Különböző virtuálisgép-hálózati módokat keverhet és párosíthat
A tesztelési, fejlesztési és hosting szolgáltatások a virtuális gépek használatának meglehetősen széles területei. Speciálisabb feladatoknál azonban előfordulhat olyan helyzet, amikor a NAT, a híd vagy a csak gazdagépen működő hálózati módok nem felelnek meg a szükséges kapcsolattípusnak.
A hálózati mód testreszabása érdekében keverheti a csatlakozási módokat. Ez azért lehetséges, mert a hipervizorok gyakran négy-nyolc hálózati adaptert adnak a virtuális gépeknek. Így szükség esetén több hálózati módot is használhat. Például olyan hálózatra van szüksége, amely rendelkezik internetkapcsolattal és virtuális gépek közötti kapcsolattal, miközben láthatatlan a fizikai hálózat számára. Egy ilyen kapcsolat létrehozásához kombinálnia kell a NAT-ot és a csak gazdagép hálózati módot.
És lényegében ennyit kell tudni a virtuális gépek hálózati módjairól. Remélhetőleg most már használhatja és testreszabhatja virtuálisgép-hálózatait.