Hipervizori ir rīki, ko izmanto, lai izveidotu virtuālās mašīnas (VM) mitināšanas pakalpojumiem, testēšanai un programmatūras izstrādei drošā vidē. Diemžēl šāds drošības līmenis ir iespējams, tikai pilnībā atdalot virtuālo mašīnu no fiziskās pasaules, kas ir problēma, ja projektam ir nepieciešams kāds tīkls.
Šī iemesla dēļ hipervizori piedāvā dažādus tīkla režīmus, lai virtuālajam datoram nodrošinātu tīkla iespējas, vienlaikus saglabājot zināmu drošības līmeni. Šie tīkla režīmi ietver NAT, tilta tīklus un tikai resursdatora tīklus.
Tātad, kas īsti ir NAT, tilta un tikai resursdatora tīkla režīmi? Kā tās darbojas un kuras jums vajadzētu izmantot?
Kas ir NAT?
Tīkla adrešu tulkošana (NAT) ir tīkla režīms, kurā saimniekdatori pārvērš virtuālās mašīnas IP adresi maršrutētājam, lai virtuālā mašīna varētu izveidot savienojumu ar internetu.
Būtībā, veidojot savienojumu ar internetu, virtuālās mašīnas IP adrese tiek maskēta ar resursdatora IP adresi. Šis režīms neļauj izveidot starpsavienojumu starp virtuālajām mašīnām, kā arī neļauj VM sazināties ar citām fiziskām iekārtām, izņemot resursdatoru.
VM tiek dota an IP adrese izmantojot virtuālo DHCP serveri, kas ir saistīts ar fiziskā resursdatora tīkla modems, nevis DHCP serveris no fiziskā maršrutētāja. Virtuālais DHCP serveris tiek automātiski izveidots ikreiz, kad tiek izveidota virtuālā mašīna. Tas nozīmē, ka virtuālās mašīnas IP adresei, kas izmanto NAT adapteri, var būt tāda pati IP adrese kā citai virtuālajai mašīnai, neradot nekādas problēmas. Tomēr tas nozīmē arī to, ka katra virtuālā mašīna, ko mitina fiziskā resursdatora mašīna, nevar mijiedarboties savā starpā, jo tām ir viena un tā pati IP.
Gadījumos, kad virtuālajām mašīnām ir nepieciešams funkcionāls NAT un tīkla savienojums, daži hipervizori, piemēram, VirtualBox, nodrošina NAT tīkla režīma opcijas.
Kas ir tikai resursdatora tīkls?
Tikai resursdatora tīkls nodrošina visaugstāko tīkla drošības līmeni apmaiņā pret ļoti ierobežotām tīkla iespējām. Piemēram, tikai resursdatora tīkls ļauj visām virtuālajām mašīnām un saimniekdatoram izveidot tīklu savā starpā, kamēr tie ir atdalīti no fiziskā tīkla. Tā kā resursdatora mašīna netulko virtuālo mašīnu adresi, maršrutētājs nevar nodrošināt tiem nekādu piekļuvi internetam.
Tikai resursdatora tīkls izmanto virtuālo DHCP serveri no resursdatora, lai katrai virtuālajai mašīnai piešķirtu unikālu IP adresi. MAC adreses tiek iestatītas automātiski, taču, ja vēlaties, varat mainīt MAC adresi un IP adresi.
Kas ir tilta tīkls?
Tiltu tīkls ir visatļautākais no visiem tīkla savienojumu veidiem.
Tas ļauj virtuālajai mašīnai izveidot tīklu ar citām virtuālajām mašīnām un visām fiziskajām iekārtām fiziskajā tīklā. Lai gan tilta tīkls nodrošina virtuālās mašīnas ar visām tīkla funkcijām, tas arī būtiski samazina tā drošību, jo virtuālās mašīnas ir arī uzņēmīgas pret tīkla ievainojamībām, līdzīgi kā atvērtās fiziskais tīkls.
Tilta adapteris nodrošina katrai virtuālajai mašīnai unikālu IP adresi fiziskā tīkla apakštīklā. Virtuālās mašīnas iegūst savu IP adresi nevis no virtuālā DHCP servera, bet gan no fiziskā maršrutētāja jūsu tīklā. Lai izmantotu tilta tīklu, lietotājam ir manuāli jāatlasa tilta adaptera režīms hipervizorā un jāiestata unikālas MAC adreses katrai virtuālajai mašīnai.
NAT, tilta un tikai resursdatora tīklu salīdzināšana
NAT, tilti un tikai resursdatora tīkli ir trīs no visizplatītākajiem tīkla režīmiem, ko virtuālās mašīnas izmanto savienojuma nodrošināšanai. Atkarībā no savienojuma režīma jūsu virtuālajai mašīnai būs dažādas tīkla iespējas. Lai gan IP, kas ir atvērts visiem savienojumiem, var šķist ērti un noderīgi, pilnībā atvērta savienojuma radītais risks nav ērtību vērts. Turklāt pareizā tīkla režīma iestatīšana ir vienkārša, un to var izdarīt dažu sekunžu laikā.
Svarīgi ir tas, ka jums ir jāsaprot, kurš tīkla režīms labāk atbilst jūsu vajadzībām. Lai jums būtu vieglāk saprast, šeit ir tabula par to, kam katrs konkrētais tīkla režīms nodrošina piekļuvi:
Tīkla režīms |
Piekļuve citām virtuālajām mašīnām |
Piekļuve saimniekdatoram |
Piekļuve fiziskajām mašīnām |
Interneta pieslēgums |
|---|---|---|---|---|
NAT |
Nē |
Jā (vienā virzienā) |
Nē |
Jā |
Tilts |
Jā |
Jā |
Jā |
Jā |
Tikai saimniekdatoram |
Jā |
Jā |
Nē |
Nē |
NAT vs. Tilts režīms vs. Tikai resursdatoram: kuru tīkla režīmu izmantot?
Virtuālās mašīnas lietošanai ir daudz praktisku pielietojumu. Daudzas no šīm lietojumprogrammām parasti ir testēšanas, izglītības, izstrādes un mitināšanas pakalpojumu veidā.
Pamatojoties uz tabulu, NAT ir aizliegts izveidot savienojumu ar citām virtuālajām mašīnām un iekārtām fiziskajā tīklā. Virtuālās mašīnas, kas konfigurētas NAT lietošanai, ir neredzamas fiziskajām mašīnām un citām virtuālajām mašīnām, kuras mitina resursdatora mašīna. Tā kā virtuālo mašīnu NAT konfigurācijā nevar redzēt citas iekārtas, tiek novērsts iespējamu portu skenēšanas uzbrukumu risks.
Tas padara NAT par piemērotu tīkla savienojumu tādu projektu testēšanai, kuros virtuālā mašīna ir jāizolē, taču tai ir nepieciešama arī piekļuve internetam. Turklāt NAT var izmantot arī iestādes, kas izmanto virtuālās mašīnas kā klientus interneta pārlūkošanai un dažādu uzņēmuma uzdevumu veikšanai.
No otras puses, tilta tīkla konfigurācija ļauj izveidot savienojumu ar līdzīgi iestatītām virtuālajām mašīnām, resursdatoru, fiziskajām mašīnām serverī un internetu. Šis režīms nodrošina pilnu tīkla savienojumu uz vismazākās drošības rēķina. Piemēram, tilta tīkls ir nepieciešams, ja virtuālajā mašīnā tiek mitināts tīmekļa serveris, failu serveris vai pasta serveris.
Atšķirībā no tilta tīkla, tikai resursdatora tīkls nodrošina vislabāko tīkla drošību uz zemas savienojamības rēķina. Tiltu tīkls ļauj izveidot savienojumu tikai ar resursdatoru un citām virtuālajām mašīnām. Lai gan ļoti izolēts, tikai saimnieks savienojumu vislabāk izmantot, iestatot privātu virtuālo tīklu testēšanai un mācībām kiberdrošība.
Varat sajaukt un saskaņot dažādus virtuālās mašīnas tīkla režīmus
Testēšanas, izstrādes un mitināšanas pakalpojumi ir diezgan plašas virtuālo mašīnu lietošanas jomas. Tomēr, veicot specializētākus uzdevumus, var rasties situācijas, kad NAT, tilta vai tikai resursdatora tīkla režīmi neatbilst nepieciešamajam savienojuma veidam.
Lai pielāgotu tīkla režīmam, varat sajaukt un saskaņot savienojuma režīmus. Tas ir iespējams, jo hipervizori bieži virtuālajām mašīnām piešķir četrus līdz astoņus tīkla adapterus. Tātad, ja nepieciešams, varat izmantot vairākus tīkla režīmus. Piemēram, jums ir nepieciešams tīkls ar interneta un VM-VM savienojumu, vienlaikus neredzot to fiziskajam tīklam. Lai izveidotu šādu savienojumu, jums vajadzētu apvienot NAT un tikai resursdatora tīkla režīmus.
Un tas būtībā ir viss, kas jums jāzina par VM tīkla režīmiem. Cerams, ka tagad varat izmantot un pielāgot savus VM tīklus.