Hypervízory sú nástroje používané na vytváranie virtuálnych strojov (VM) na hosťovanie služieb, testovanie a vývoj softvéru v zabezpečenom prostredí. Bohužiaľ, táto úroveň zabezpečenia je možná len úplným izolovaním virtuálneho stroja od fyzického sveta, čo je problém, ak projekt potrebuje nejaké sieťové prepojenie.
Z tohto dôvodu hypervízory ponúkajú rôzne sieťové režimy na poskytovanie sieťových možností pre VM pri zachovaní určitej úrovne bezpečnosti. Tieto sieťové režimy zahŕňajú NAT, premostené siete a siete iba pre hostiteľa.
Takže, čo presne sú režimy NAT, premostené a iba hostiteľské siete? Ako fungujú a ktoré by ste mali použiť?
Čo je NAT?
Network Address Translation (NAT) je sieťový režim, v ktorom hostitelia prekladajú IP adresu VM do smerovača, aby sa VM mohol pripojiť k internetu.
V zásade platí, že pri pripájaní na internet je IP adresa VM maskovaná IP adresou hostiteľa. Tento režim neumožňuje prepojenie medzi VM ani neumožňuje VM komunikovať s inými fyzickými počítačmi okrem hostiteľa.
VM dostane an IP adresa prostredníctvom virtuálneho servera DHCP prepojeného s sieťový modem fyzického hostiteľa, nie server DHCP z fyzického smerovača. Pri každom vytvorení virtuálneho počítača sa automaticky vytvorí virtuálny server DHCP. To znamená, že IP adresa virtuálneho počítača, ktorý používa adaptér NAT, môže mať rovnakú IP adresu ako iný virtuálny počítač bez toho, aby spôsoboval problémy. To však tiež znamená, že každý VM hostovaný fyzickým hostiteľským počítačom nemôže navzájom interagovať, pretože zdieľajú rovnakú IP.
V prípadoch, keď virtuálne počítače vyžadujú fungujúci NAT a vzájomné sieťové pripojenie, niektoré hypervízory, ako napríklad VirtualBox, poskytujú možnosti pre režim „sieť NAT“.
Čo je to sieť iba pre hostiteľa?
Sieť iba pre hostiteľa poskytuje najvyššiu úroveň zabezpečenia siete výmenou za veľmi obmedzené sieťové možnosti. Napríklad sieť iba pre hostiteľa umožňuje všetkým virtuálnym počítačom a hostiteľskému počítaču vzájomnú sieť, pričom sú odrezané od fyzickej siete. A keďže hostiteľský počítač neprekladá adresy pre virtuálne počítače, smerovač im nemôže poskytnúť žiadny prístup na internet.
Sieť iba pre hostiteľa používa virtuálny server DHCP z hostiteľského počítača, aby ste každému VM pridelili jedinečnú IP adresu. MAC adresy sa nastavia automaticky, ale ak chcete, môžete MAC adresu a IP adresu zmeniť.
Čo je premostená sieť?
Premostená sieť je najtolerantnejšia zo všetkých typov sieťových pripojení.
Umožňuje VM pripojiť sa k iným VM a všetkým fyzickým počítačom vo fyzickej sieti. Aj keď premostená sieť poskytuje virtuálnym počítačom všetky sieťové funkcie, aj to výrazne znižuje jeho bezpečnosť, pretože virtuálne počítače sú tiež náchylné na sieťové zraniteľnosti, podobne ako otvorené fyzickej siete.
Premosťovací adaptér poskytuje každému VM jedinečnú IP adresu v rámci fyzickej podsiete siete. VM nezískajú svoju IP adresu z virtuálneho servera DHCP, ale z fyzického smerovača vo vašej sieti. Ak chcete použiť premostenú sieť, používateľ musí manuálne vybrať režim premosteného adaptéra na hypervízore a nastaviť jedinečné adresy MAC pre každý VM.
Porovnanie sietí NAT, Bridged a Host-only
NAT, premostené siete a siete iba pre hostiteľa sú tri z najbežnejších sieťových režimov, ktoré virtuálne počítače používajú na pripojenie. V závislosti od režimu pripojenia bude mať váš virtuálny stroj rôzne stupne sieťových možností. Hoci mať IP otvorenú pre všetky pripojenia sa môže zdať pohodlné a užitočné, riziko, ktoré vytvára úplne otvorené pripojenie, nestojí za toto pohodlie. Okrem toho je nastavenie správneho sieťového režimu jednoduché a dá sa vykonať za pár sekúnd.
Dôležité je, že musíte pochopiť, ktorý sieťový režim lepšie vyhovuje vašim potrebám. Aby ste to ľahšie pochopili, tu je tabuľka toho, k čomu jednotlivé režimy siete poskytujú prístup:
Sieťový mód |
Prístup k iným VM |
Prístup k hostiteľovi |
Prístup k fyzickým strojom |
Prístup na internet |
|---|---|---|---|---|
NAT |
Nie |
Áno (jednosmerná) |
Nie |
Áno |
Premostené |
Áno |
Áno |
Áno |
Áno |
Iba hostiteľ |
Áno |
Áno |
Nie |
Nie |
NAT vs. Mostový režim vs. Iba hostiteľ: Ktorý sieťový režim použiť?
Existuje mnoho praktických aplikácií na používanie virtuálneho stroja. Mnohé z týchto aplikácií sú zvyčajne vo forme testovacích, vzdelávacích, vývojových a hostingových služieb.
Na základe tabuľky sa NAT nemôže pripájať k iným virtuálnym počítačom a počítačom vo fyzickej sieti. Virtuálne počítače nakonfigurované na používanie NAT sú neviditeľné pre fyzické počítače a iné virtuálne počítače hostené hostiteľským počítačom. A keďže VM v konfigurácii NAT nemôžu ostatné stroje vidieť, riziko možných útokov skenovania portov je eliminované.
Vďaka tomu je NAT vhodným sieťovým pripojením pre testovacie projekty, kde je potrebné VM izolovať, ale zároveň potrebuje prístup na internet. Okrem toho môžu NAT využívať aj zariadenia využívajúce virtuálne počítače ako klientov na prehliadanie internetu a vykonávanie rôznych firemných úloh.
Na druhej strane konfigurácia mostovej siete umožňuje pripojenie k podobne nastaveným VM, hostiteľskému počítaču, fyzickým počítačom na serveri a internetu. Tento režim poskytuje plnú sieťovú konektivitu na úkor minimálneho zabezpečenia. Premostená sieť je napríklad potrebná, ak virtuálny počítač hostí webový server, súborový server alebo poštový server.
Na rozdiel od premostenej siete poskytuje hostiteľská sieť najlepšiu bezpečnosť siete na úkor nízkej konektivity. Premostená sieť umožňuje iba pripojenie k hostiteľovi a iným VM. Hoci je veľmi izolovaný, iba hostiteľ pripojenie sa najlepšie používa pri nastavovaní súkromnej virtuálnej siete na testovanie a spoznávanie kyber ochrana.
Môžete kombinovať rôzne sieťové režimy virtuálnych strojov
Testovacie, vývojové a hostingové služby sú pomerne širokými oblasťami využitia VM. Pri špecializovanejších úlohách sa však môžete stretnúť so situáciami, keď režimy siete NAT, mosta alebo iba hostiteľa nezodpovedajú typu pripojenia, ktoré potrebujete.
Ak chcete prispôsobiť svoj sieťový režim, môžete kombinovať režimy pripojenia. Je to možné, pretože hypervízory často poskytujú virtuálnym počítačom štyri až osem sieťových adaptérov. V prípade potreby teda môžete použiť viacero sieťových režimov. Potrebujete napríklad sieť, ktorá má pripojenie na internet a pripojenie VM k VM, pričom je pre fyzickú sieť neviditeľná. Na vytvorenie takéhoto pripojenia by ste skombinovali NAT a sieťový režim iba hostiteľa.
A to je v podstate všetko, čo potrebujete vedieť o sieťových režimoch VM. Dúfajme, že teraz môžete používať a prispôsobovať svoje siete VM.
