Hipervizoriai yra įrankiai, naudojami kuriant virtualias mašinas (VM), skirtas prieglobos paslaugoms, testavimui ir programinės įrangos kūrimui saugioje aplinkoje. Deja, toks saugumo lygis įmanomas tik visiškai pašalinus virtualią mašiną iš fizinio pasaulio smėlio dėžės, o tai yra problema, jei projektui reikia tinklo.
Dėl šios priežasties hipervizoriai siūlo įvairius tinklo režimus, kad suteiktų VM tinklo galimybes išlaikant tam tikrą saugumo lygį. Šie tinklo režimai apima NAT, tiltinius ir tik pagrindinio kompiuterio tinklus.
Taigi, kas tiksliai yra NAT, tilto ir tik pagrindinio kompiuterio tinklo režimai? Kaip jie veikia ir kuriuos turėtumėte naudoti?
Kas yra NAT?
Tinklo adresų vertimas (NAT) yra tinklo režimas, kai pagrindiniai kompiuteriai verčia VM IP adresą į maršrutizatorių, kad VM galėtų prisijungti prie interneto.
Iš esmės, kai prisijungiate prie interneto, VM IP adresas užmaskuojamas pagrindinio kompiuterio IP adresu. Šis režimas neleidžia VM prisijungti ir neleidžia VM susisiekti su kitais fiziniais įrenginiais, išskyrus pagrindinį kompiuterį.
VM suteikiamas an IP adresas per virtualų DHCP serverį, susietą su fizinio pagrindinio kompiuterio tinklo modemas, o ne DHCP serveris iš fizinio maršruto parinktuvo. Virtualus DHCP serveris sukuriamas automatiškai, kai sukuriama virtuali mašina. Tai reiškia, kad VM, naudojant NAT adapterį, IP adresas gali turėti tą patį IP adresą kaip ir kitos VM nesukeldamas jokių problemų. Tačiau tai taip pat reiškia, kad kiekviena VM, priglobta fizinio pagrindinio kompiuterio, negali sąveikauti viena su kita, nes turi tą patį IP.
Tais atvejais, kai VM reikia veikiančio NAT ir tinklo ryšio tarpusavyje, kai kurie hipervizoriai, tokie kaip „VirtualBox“, suteikia „NAT tinklo“ režimo parinktis.
Kas yra tik prieglobos tinklas?
Tik prieglobos tinklas užtikrina aukščiausio lygio tinklo saugumą mainais už labai ribotas tinklo galimybes. Pavyzdžiui, tik prieglobos tinklas leidžia visoms virtualiosioms mašinoms ir pagrindiniam kompiuteriui prisijungti prie tinklo, kai jie yra atskirti nuo fizinio tinklo. Kadangi pagrindinis kompiuteris neverčia VM adreso, maršrutizatorius negali suteikti jiems jokios interneto prieigos.
Tik prieglobos tinklas naudoja virtualų DHCP serverį iš pagrindinio kompiuterio, kad kiekvienai VM suteiktų unikalų IP adresą. MAC adresai nustatomi automatiškai, bet jei norite, galite pakeisti MAC adresą ir IP adresą.
Kas yra tiltinis tinklas?
Tiltas tinklas yra leistiniausias iš visų tinklo ryšio tipų.
Tai leidžia VM prisijungti prie tinklo su kitomis VM ir visais fiziniais įrenginiais fiziniame tinkle. Nors sujungtas tinklas suteikia VM visoms tinklo funkcijoms, taip pat labai sumažina jo saugumą, nes VM taip pat yra jautrūs tinklo pažeidžiamumui, panašiai kaip atviras fizinis tinklas.
Tilto adapteris kiekvienai VM suteikia unikalų IP adresą fiziniame tinklo potinklyje. VM gauna savo IP adresą ne iš virtualaus DHCP serverio, o iš fizinio maršruto parinktuvo jūsų tinkle. Norėdamas naudoti tiltinį tinklą, vartotojas turi rankiniu būdu pasirinkti tilto adapterio režimą hipervizoriuje ir nustatyti unikalius MAC adresus kiekvienai VM.
NAT, sujungtų ir tik pagrindinio kompiuterio tinklų palyginimas
NAT, tilteliai ir tik prieglobos tinklai yra trys dažniausiai naudojami tinklo režimai, kuriuos virtualios mašinos naudoja ryšiui palaikyti. Priklausomai nuo ryšio režimo, jūsų virtualioji mašina turės įvairių tinklo galimybių. Nors IP atviras visiems ryšiams gali atrodyti patogus ir naudingas, rizika, kurią sukelia visiškai atviras ryšys, nėra verta patogumo. Be to, nustatyti tinkamą tinklo režimą lengva ir tai galima padaryti per kelias sekundes.
Svarbu tai, kad turite suprasti, kuris tinklo režimas geriau atitinka jūsų poreikius. Kad būtų lengviau suprasti, pateikiame lentelę, prie ko kiekvienas konkretus tinklo režimas suteikia prieigą:
Tinklo režimas |
Prieiga prie kitų VM |
Prieiga prie pagrindinio kompiuterio |
Prieiga prie fizinių mašinų |
Interneto ryšys |
|---|---|---|---|---|
NAT |
Nr |
Taip (į vieną pusę) |
Nr |
Taip |
Tiltas |
Taip |
Taip |
Taip |
Taip |
Tik šeimininkas |
Taip |
Taip |
Nr |
Nr |
NAT vs. Tiltas režimas vs. Tik priegloba: kurį tinklo režimą naudoti?
Yra daug praktinių virtualios mašinos naudojimo programų. Daugelis šių programų paprastai yra testavimo, švietimo, kūrimo ir prieglobos paslaugų forma.
Remiantis lentele, NAT neleidžiama prisijungti prie kitų VM ir fizinio tinklo įrenginių. VM, sukonfigūruotos naudoti NAT, yra nematomos fiziniams įrenginiams ir kitoms VM, kurias priglobia pagrindinis įrenginys. Kadangi NAT konfigūracijos VM negali matyti kiti įrenginiai, pašalinama galimų prievadų nuskaitymo atakų rizika.
Dėl to NAT yra tinkamas tinklo ryšys testuojant projektus, kuriuose VM reikia izoliuoti, bet reikia ir interneto prieigos. Be to, NAT taip pat gali naudoti įstaigos, kurios VM naudoja kaip klientus naršyti internete ir atlikti įvairias įmonės užduotis.
Kita vertus, tilto tinklo konfigūracija leidžia prisijungti prie panašiai nustatytų VM, pagrindinio kompiuterio, fizinių mašinų serveryje ir interneto. Šis režimas užtikrina visišką tinklo ryšį mažiausio saugumo sąskaita. Pavyzdžiui, tiltinis tinklas yra būtinas, jei virtualioje mašinoje yra žiniatinklio serveris, failų serveris arba pašto serveris.
Priešingai nei sujungtas tinklas, tik prieglobos tinklas užtikrina geriausią tinklo saugumą žemo ryšio sąskaita. Sujungtas tinklas leidžia prisijungti tik prie pagrindinio kompiuterio ir kitų VM. Nors ir labai izoliuotas, tik šeimininkas ryšį geriausia naudoti nustatant privatų virtualų tinklą testavimui ir mokymuisi Kibernetinė sauga.
Galite maišyti ir suderinti skirtingus virtualios mašinos tinklo režimus
Testavimo, kūrimo ir prieglobos paslaugos yra gana plačios VM naudojimo sritys. Tačiau atliekant labiau specializuotas užduotis galite susidurti su situacijomis, kai NAT, tilto arba tik pagrindinio kompiuterio tinklo režimai neatitinka reikiamo ryšio tipo.
Norėdami pritaikyti savo tinklo režimą, galite maišyti ir suderinti ryšio režimus. Tai įmanoma, nes hipervizoriai dažnai suteikia VM nuo keturių iki aštuonių tinklo adapterių. Taigi, kai reikia, galite naudoti kelis tinklo režimus. Pavyzdžiui, jums reikia tinklo, turinčio interneto ir VM-VM ryšį, o fiziniam tinklui jis nematomas. Norėdami sukurti tokį ryšį, derintumėte NAT ir tik pagrindinio kompiuterio tinklo režimus.
Ir tai iš esmės viskas, ką reikia žinoti apie VM tinklo režimus. Tikimės, kad dabar galėsite naudoti ir tinkinti savo VM tinklus.