Hüperviisorid on tööriistad, mida kasutatakse virtuaalmasinate (VM) loomiseks teenuste hostimiseks, testimiseks ja tarkvara arendamiseks turvalises keskkonnas. Kahjuks on see turvalisuse tase võimalik ainult virtuaalse masina füüsilisest maailmast täielikult liivakasti eemaldamisega, mis on probleem, kui projekt vajab võrguühendust.
Sel põhjusel pakuvad hüperviisorid erinevaid võrgurežiime, et pakkuda VM-ile võrguvõimalusi, säilitades samal ajal teatud turbetaseme. Need võrgurežiimid hõlmavad NAT-i, sillatud ja ainult hostivõrke.
Mis siis täpselt on NAT, sillatud ja ainult hosti võrgurežiimid? Kuidas need töötavad ja mida peaksite kasutama?
Mis on NAT?
Võrguaadressi tõlkimine (NAT) on võrgurežiim, kus hostid tõlgivad VM-i IP-aadressi ruuterile, et VM saaks Interneti-ühenduse luua.
Põhimõtteliselt maskeeritakse Interneti-ühenduse loomisel VM-i IP-aadress hosti IP-aadressiga. See režiim ei võimalda VM-ide vahelist ühendust ega võimalda VM-il suhelda teiste füüsiliste masinatega peale hosti.
VM-ile antakse an IP-aadress kaudu lingitud virtuaalse DHCP-serveri kaudu füüsilise hosti võrgumodem, mitte füüsilise ruuteri DHCP-serverit. Virtuaalne DHCP-server luuakse automaatselt iga kord, kui tehakse virtuaalne masin. See tähendab, et NAT-adapterit kasutava virtuaalse masina IP-aadressil võib olla sama IP-aadress, mis mõnel teisel virtuaalsel masinal, ilma probleeme tekitamata. See tähendab aga ka seda, et kõik füüsilise hostmasina hostitud virtuaalsed masinad ei saa üksteisega suhelda, kuna neil on sama IP.
Juhtudel, kui virtuaalsed masinad nõuavad töötavat NAT-i ja omavahelist võrguühendust, pakuvad mõned hüperviisorid, näiteks VirtualBox, "NAT-võrgu" režiimi valikuid.
Mis on ainult hostivõrk?
Ainult hostivõrk tagab kõrgeima võrguturbe taseme vastutasuks väga piiratud võrguvõimaluste eest. Näiteks ainult hostivõrk võimaldab kõigil VM-idel ja hostmasinal üksteisega võrku luua, olles samal ajal füüsilisest võrgust eraldatud. Ja kuna hostmasin ei tõlgi VM-ide aadresse, ei saa ruuter neile Interneti-juurdepääsu pakkuda.
Ainult hostivõrk kasutab virtuaalset DHCP-serverit hostmasinast, et anda igale VM-ile kordumatu IP-aadress. MAC-aadressid määratakse automaatselt, kuid soovi korral saate MAC-aadressi ja IP-aadressi muuta.
Mis on sildvõrk?
Sildvõrk on kõigist võrguühendustüüpidest kõige lubavam.
See võimaldab VM-il luua võrguühenduse teiste VM-ide ja kõigi füüsilises võrgus olevate füüsiliste masinatega. Kuigi sillavõrk pakub VM-idele kõiki võrgufunktsioone, on see ka märkimisväärselt vähendab selle turvalisust, kuna virtuaalsed masinad on vastuvõtlikud ka võrguhaavatavustele, sarnaselt avatud füüsiline võrk.
Sillaadapter annab igale VM-ile unikaalse IP-aadressi füüsilises võrgu alamvõrgus. Virtuaalarvutid saavad oma IP-aadressi mitte virtuaalselt DHCP-serverilt, vaid teie võrgu füüsiliselt ruuterilt. Sildvõrgu kasutamiseks peab kasutaja hüperviisoris käsitsi valima sillatud adapteri režiimi ja määrama igale VM-ile kordumatud MAC-aadressid.
NAT-i, sildade ja ainult hostivõrkude võrdlemine
NAT-, silla- ja ainult hostivõrgud on kolm kõige levinumat võrgurežiimi, mida virtuaalmasinad ühenduse loomiseks kasutavad. Sõltuvalt ühendusrežiimist on teie virtuaalmasinal erineval määral võrguvõimalusi. Kuigi kõigile ühendustele avatud IP-aadress võib tunduda mugav ja kasulik, ei ole täielikult avatud ühenduse tekitatav risk mugavust väärt. Pealegi on õige võrgurežiimi seadistamine lihtne ja seda saab teha mõne sekundiga.
Oluline on see, et peate mõistma, milline võrgurežiim sobib teie vajadustega paremini. Selle lihtsamaks mõistmiseks on siin tabel selle kohta, millele iga konkreetne võrgurežiim juurdepääsu pakub:
Võrgurežiim |
Juurdepääs teistele VM-idele |
Juurdepääs hostile |
Juurdepääs füüsilistele masinatele |
Internetiühendus |
|---|---|---|---|---|
NAT |
Ei |
Jah (üks suund) |
Ei |
Jah |
Sillatud |
Jah |
Jah |
Jah |
Jah |
Ainult hostile |
Jah |
Jah |
Ei |
Ei |
NAT vs. Sillarežiim vs. Ainult host: millist võrgurežiimi kasutada?
Virtuaalse masina kasutamiseks on palju praktilisi rakendusi. Paljud neist rakendustest on tavaliselt testimise, hariduse, arenduse ja hostimisteenuste vormis.
Tabeli põhjal ei saa NAT-i luua ühendust teiste virtuaalsete masinatega ja füüsilises võrgus olevate masinatega. NAT-i kasutama konfigureeritud VM-id on füüsilistele masinatele ja teistele hostmasina hostitud VM-idele nähtamatud. Ja kuna NAT-konfiguratsioonis VM-i ei näe teised masinad, on võimalike pordi skaneerimise rünnakute oht välistatud.
See muudab NAT-i sobivaks võrguühenduseks selliste projektide testimiseks, kus VM tuleb eraldada, kuid vajab ka Interneti-juurdepääsu. Lisaks saavad NAT-i kasutada ka ettevõtted, kes kasutavad VM-e klientidena Interneti sirvimiseks ja erinevate ettevõtte ülesannete täitmiseks.
Teisest küljest võimaldab sildvõrgu konfiguratsioon luua ühenduse sarnaselt seadistatud VM-ide, hostmasina, serveri füüsiliste masinate ja Internetiga. See režiim tagab täieliku võrguühenduse minimaalse turvalisuse arvelt. Näiteks on sillavõrk vajalik, kui virtuaalmasin majutab veebiserverit, failiserverit või meiliserverit.
Erinevalt sildvõrgust tagab ainult hostipõhine võrk madala ühenduvuse arvelt parima võrguturbe. Sildvõrk võimaldab ühendust ainult hosti ja teiste VM-idega. Kuigi väga isoleeritud, ainult peremees ühendust on kõige parem kasutada privaatse virtuaalse võrgu seadistamisel testimiseks ja õppimiseks küberturvalisus.
Saate segada ja sobitada erinevaid virtuaalse masina võrgurežiime
Testimis-, arendus- ja hostimisteenused on VM-ide kasutusvaldkonnad üsna laialdased. Spetsiifilisemate toimingute puhul võib aga tekkida olukordi, kus NAT-, silla- või ainult hostivõrgu režiimid ei sobi teile vajaliku ühenduse tüübiga.
Võrgurežiimi kohandamiseks saate ühendusrežiime segada ja sobitada. See on võimalik, kuna hüperviisorid annavad VM-idele sageli neli kuni kaheksa võrguadapterit. Seega saate vajadusel kasutada mitut võrgurežiimi. Näiteks vajate võrku, millel on Interneti- ja VM-i-VM-ühendus, olles samal ajal füüsilisele võrgule nähtamatu. Sellise ühenduse loomiseks kombineeriksite NAT-i ja ainult hostivõrgu režiimid.
Ja see on põhimõtteliselt kõik, mida peate VM-i võrgurežiimide kohta teadma. Loodetavasti saate nüüd oma VM-võrke kasutada ja kohandada.