Гипервизоры — это инструменты, используемые для создания виртуальных машин (ВМ) для хостинга услуг, тестирования и разработки программного обеспечения в безопасной среде. К сожалению, такой уровень безопасности возможен только при полной изоляции виртуальной машины от физического мира, что является проблемой, если проекту требуется какая-либо сеть.
По этой причине гипервизоры предлагают различные сетевые режимы, чтобы предоставить сетевые возможности виртуальной машине, сохраняя при этом определенный уровень безопасности. Эти сетевые режимы включают NAT, мостовые сети и сети только для хоста.
Итак, что же такое режимы NAT, bridged и host-only? Как они работают и какие следует использовать?
Что такое НАТ?
Преобразование сетевых адресов (NAT) — это сетевой режим, в котором хосты транслируют IP-адрес виртуальной машины на маршрутизатор, чтобы виртуальная машина могла подключаться к Интернету.
По сути, при подключении к Интернету IP-адрес виртуальной машины маскируется IP-адресом хоста. Этот режим не допускает взаимосвязи между виртуальными машинами, а также не позволяет виртуальной машине взаимодействовать с другими физическими машинами, кроме хоста.
Виртуальной машине предоставляется айпи адрес через виртуальный DHCP-сервер, подключенный к сетевой модем физического хоста, а не DHCP-сервер с физического маршрутизатора. Виртуальный DHCP-сервер создается автоматически при создании виртуальной машины. Это означает, что IP-адрес виртуальной машины, использующей адаптер NAT, может иметь тот же IP-адрес, что и другая виртуальная машина, без каких-либо проблем. Однако это также означает, что каждая виртуальная машина, размещенная на физическом хост-компьютере, не может взаимодействовать друг с другом, поскольку они используют один и тот же IP-адрес.
В тех случаях, когда виртуальным машинам требуется работающий NAT и сетевое соединение друг с другом, некоторые гипервизоры, такие как VirtualBox, предоставляют параметры для режима «сеть NAT».
Что такое сеть только для хоста?
Сеть только для хоста обеспечивает высочайший уровень сетевой безопасности в обмен на очень ограниченные сетевые возможности. Например, сеть только для хоста позволяет всем виртуальным машинам и хост-компьютеру подключаться друг к другу по сети, будучи отрезанными от физической сети. А поскольку хост-компьютер не транслирует адрес для виртуальных машин, маршрутизатор не может предоставить им доступ в Интернет.
Сеть только для хоста использует виртуальный DHCP-сервер с хост-компьютера, чтобы дать уникальный IP-адрес каждой виртуальной машине. MAC-адреса устанавливаются автоматически, но при желании вы можете изменить MAC-адрес и IP-адрес.
Что такое мостовая сеть?
Мостовая сеть является наиболее либеральным из всех типов сетевых подключений.
Это позволяет виртуальной машине подключаться к другим виртуальным машинам и всем физическим машинам в физической сети. Хотя мостовая сеть предоставляет виртуальным машинам все сетевые функции, она также значительно снижает его безопасность, так как виртуальные машины также подвержены сетевым уязвимостям, подобно открытому физическая сеть.
Адаптер моста предоставляет каждой виртуальной машине уникальный IP-адрес в подсети физической сети. Виртуальные машины получают свой IP-адрес не от виртуального DHCP-сервера, а от физического маршрутизатора в вашей сети. Чтобы использовать мостовую сеть, пользователь должен вручную выбрать режим мостового адаптера на гипервизоре и установить уникальные MAC-адреса для каждой виртуальной машины.
Сравнение NAT, Bridged и Host-only сетей
NAT, мостовые сети и сети только для хоста — это три наиболее распространенных сетевых режима, используемых виртуальными машинами для подключения. В зависимости от режима подключения ваша виртуальная машина будет иметь различные сетевые возможности. Хотя наличие IP-адреса, открытого для всех соединений, может показаться удобным и полезным, риск, который создает полностью открытое соединение, не стоит удобства. Кроме того, установка правильного режима сети проста и может быть выполнена за несколько секунд.
Важно то, что вам нужно понять, какой режим сети лучше соответствует вашим потребностям. Чтобы вам было проще понять, вот таблица того, к чему предоставляет доступ каждый конкретный сетевой режим:
Сетевой режим |
Доступ к другим виртуальным машинам |
Доступ к хосту |
Доступ к физическим машинам |
Доступ в Интернет |
---|---|---|---|---|
NAT |
Нет |
Да (в одну сторону) |
Нет |
Да |
Мост |
Да |
Да |
Да |
Да |
Только для хоста |
Да |
Да |
Нет |
Нет |
НАТ против. Мостовой режим по сравнению с Только для хоста: какой сетевой режим использовать?
Существует множество практических приложений для использования виртуальной машины. Многие из этих приложений обычно представляют собой услуги тестирования, обучения, разработки и хостинга.
Согласно таблице, NAT не может подключаться к другим виртуальным машинам и машинам в физической сети. Виртуальные машины, настроенные для использования NAT, невидимы для физических машин и других виртуальных машин, размещенных на хост-компьютере. А поскольку виртуальная машина в конфигурации NAT не видна другим машинам, исключается риск возможных атак сканирования портов.
Это делает NAT подходящим сетевым подключением для тестирования проектов, в которых виртуальная машина должна быть изолирована, но также требует доступа в Интернет. Кроме того, NAT также может использоваться учреждениями, использующими виртуальные машины в качестве клиентов для работы в Интернете и выполнения различных задач компании.
С другой стороны, конфигурация мостовой сети позволяет подключаться к аналогично настроенным виртуальным машинам, хост-компьютеру, физическим машинам на сервере и Интернету. Этот режим обеспечивает полное подключение к сети за счет наименьшего уровня безопасности. Например, мостовая сеть необходима, если на виртуальной машине размещен веб-сервер, файловый сервер или почтовый сервер.
В отличие от мостовой сети, сеть только для хоста обеспечивает наилучшую сетевую безопасность за счет низкой скорости подключения. Мостовая сеть позволяет подключаться только к хосту и другим виртуальным машинам. Несмотря на то, что он очень изолирован, он предназначен только для хозяев. соединение лучше всего использовать при настройке частной виртуальной сети для тестирования и изучения информационная безопасность.
Вы можете смешивать и сочетать различные сетевые режимы виртуальной машины
Тестирование, разработка и услуги хостинга — довольно широкие области использования виртуальных машин. Однако для более специализированных задач вы можете столкнуться с ситуациями, когда сетевые режимы NAT, bridge или host-only не подходят для нужного вам типа соединения.
Чтобы адаптировать режим к сети, вы можете комбинировать режимы подключения. Это возможно, поскольку гипервизоры часто предоставляют виртуальным машинам от четырех до восьми сетевых адаптеров. Таким образом, при необходимости вы можете использовать несколько сетевых режимов. Например, вам нужна сеть с подключением к Интернету и между виртуальными машинами, но при этом невидимая для физической сети. Вы бы объединили режимы NAT и сети только для хоста, чтобы создать такое соединение.
И это в основном все, что вам нужно знать о сетевых режимах виртуальных машин. Надеюсь, теперь вы можете использовать и настраивать свои сети виртуальных машин.