Хипервизори су алати који се користе за креирање виртуелних машина (ВМ) за услуге хостовања, тестирање и развој софтвера у безбедном окружењу. Нажалост, овај ниво сигурности је могућ само потпуним изолацијом виртуелне машине из физичког света, што представља проблем ако је пројекту потребно било какво умрежавање.
Из тог разлога, хипервизори нуде различите начине умрежавања како би омогућили мрежне могућности ВМ-у уз одржавање одређеног нивоа сигурности. Ови начини умрежавања укључују НАТ, премоштене мреже и мреже само за хост.
Дакле, шта су тачно НАТ, премошћени и мрежни режими само за хост? Како функционишу и које треба да користите?
Шта је НАТ?
Превођење мрежних адреса (НАТ) је начин умрежавања у којем домаћини преводе ИП адресу ВМ-а на рутер да би ВМ могао да се повеже на интернет.
У основи, када се повезујете на интернет, ИП адреса ВМ-а се маскира ИП адресом домаћина. Овај режим не дозвољава међусобну везу између ВМ-а, нити дозвољава ВМ-у да комуницира са другим физичким машинама осим са хостом.
ВМ се даје ан ИП адреса преко виртуелног ДХЦП сервера повезаног са мрежни модем физичког домаћина, а не ДХЦП сервер са физичког рутера. Виртуелни ДХЦП сервер се аутоматски креира кад год се направи виртуелна машина. То значи да ИП адреса ВМ-а који користи НАТ адаптер може имати исту ИП адресу као и други ВМ без изазивања проблема. Међутим, ово такође значи да сваки ВМ који хостује физичка хост машина не може да комуницира једни са другима јер деле исти ИП.
У случајевима када ВМ захтевају радни НАТ и мрежну везу један са другим, неки хипервизори као што је ВиртуалБок пружају опције за режим „НАТ мреже“.
Шта је мрежа само за домаћина?
Мрежа само за хост обезбеђује највиши ниво мрежне безбедности у замену за веома ограничене мрежне могућности. На пример, мрежа само за хост дозвољава свим ВМ-овима и хост машини да се међусобно умреже док су одсечени од физичке мреже. А пошто хост машина не преводи адресу за ВМ, рутер им не може обезбедити никакав приступ интернету.
Мрежа само за домаћина користи виртуелни ДХЦП сервер са матичне машине да дају јединствену ИП адресу свакој ВМ. МАЦ адресе се аутоматски постављају, али можете променити МАЦ адресу и ИП адресу ако желите.
Шта је премошћена мрежа?
Премошћена мрежа је најпопустљивија од свих врста мрежних веза.
Омогућава ВМ-у да се умрежи са другим ВМ-овима и свим физичким машинама на физичкој мрежи. Иако премошћена мрежа пружа ВМ-овима све мрежне функционалности, она такође значајно смањује своју сигурност јер су ВМ-ови такође подложни рањивости у мрежи, слично као код отвореног физичка мрежа.
Адаптер за мост обезбеђује свакој ВМ јединствену ИП адресу унутар физичке мрежне подмреже. ВМ-ови добијају своју ИП адресу не са виртуелног ДХЦП сервера, већ са физичког рутера у вашој мрежи. Да би користио премошћену мрежу, корисник мора ручно да изабере режим премошћеног адаптера на хипервизору и подеси јединствене МАЦ адресе за сваку ВМ.
Поређење НАТ, премошћених мрежа и мрежа само за хост
НАТ, премоштене мреже и мреже само за домаћина су три најчешћа начина умрежавања које виртуелне машине користе за повезивање. У зависности од начина повезивања, ваша виртуелна машина ће имати различите степене мрежних могућности. Иако може изгледати згодно и корисно имати ИП отворен за све везе, ризик који ствара потпуно отворена веза није вредан погодности. Осим тога, подешавање исправног мрежног режима је једноставно и може се обавити за неколико секунди.
Важна ствар је да морате да разумете који мрежни режим боље одговара вашим потребама. Да бисте лакше разумели, ево табеле о томе чему сваки одређени мрежни режим омогућава приступ:
Режим мреже |
Приступ другим ВМ-овима |
Приступ хосту |
Приступ физичким машинама |
Приступ интернету |
|---|---|---|---|---|
НАТ |
Не |
Да (једносмерно) |
Не |
да |
Премошћено |
да |
да |
да |
да |
Само за домаћина |
да |
да |
Не |
Не |
НАТ вс. Премошћени режим вс. Само за хост: који мрежни режим користити?
Постоји много практичних апликација за коришћење виртуелне машине. Многе од ових апликација су обично у облику услуга тестирања, образовања, развоја и хостинга.
На основу табеле, НАТ-у је забрањено повезивање са другим ВМ-овима и машинама на физичкој мрежи. ВМ конфигурисани да користе НАТ невидљиви су физичким машинама и другим ВМ-овима које хостује хост машина. А пошто ВМ у НАТ конфигурацији не могу да виде друге машине, ризик од могућих напада скенирања портова је елиминисан.
Ово чини НАТ одговарајућом мрежном везом за тестирање пројеката где ВМ треба да буде изолован, али такође треба и приступ интернету. Штавише, НАТ такође могу да користе установе које користе ВМ као клијенте за претраживање интернета и обављање различитих задатака компаније.
С друге стране, конфигурација мреже моста омогућава повезивање са слично постављеним ВМ-овима, хост машином, физичким машинама на серверу и интернетом. Овај режим омогућава пуну мрежну повезаност на рачун најмање сигурности. На пример, премошћена мрежа је неопходна ако виртуелна машина хостује веб сервер, сервер датотека или сервер поште.
За разлику од премошћене мреже, мрежа само за хост даје најбољу сигурност мреже на рачун ниске повезаности. Премошћена мрежа дозвољава само повезивање са хостом и другим ВМ-овима. Иако веома изолован, само за домаћина веза се најбоље користи када се поставља приватна виртуелна мрежа за тестирање и учење сајбер безбедност.
Можете да комбинујете и ускладите различите мрежне режиме виртуелних машина
Услуге тестирања, развоја и хостинга су прилично широке области употребе ВМ-а. Међутим, за специјализованије задатке, можете наићи на ситуације у којима НАТ, бридге или мрежни режими само за хост не одговарају типу везе која вам је потребна.
Да бисте прилагодили свој мрежни режим, можете мешати и ускладити режиме везе. Ово је могуће јер хипервизори често дају ВМ-овима четири до осам мрежних адаптера. Дакле, можете користити више мрежних режима када је то потребно. На пример, потребна вам је мрежа која има интернет и ВМ-то-ВМ везу док је невидљива за физичку мрежу. Комбиновали бисте НАТ и мрежне режиме само за хост да бисте створили такву везу.
И то је у суштини све што треба да знате о ВМ мрежним режимима. Надамо се да сада можете да користите и прилагодите своје ВМ мреже.