13.4.2. Aislar las máquinas virtuales entre sí mediante la consola web
Para evitar que una máquina virtual (VM) se comunique con otras VMs en su host, por ejemplo para evitar compartir datos o para aumentar la seguridad del sistema, puede aislar completamente la VM del tráfico de red del lado del host.
Por defecto, una VM recién creada se conecta a una red de tipo NAT que utiliza virbr0
, el puente virtual por defecto en el host. Esto asegura que la VM pueda utilizar la NIC del host para conectarse a redes externas, así como a otras VMs en el host. Esta es una conexión generalmente segura, pero en algunos casos, la conectividad con las otras VMs puede ser un peligro para la seguridad o la privacidad de los datos. En tales situaciones, se puede aislar la VM utilizando la conexión directa macvtap
en modo privado en lugar de la red por defecto.
En el modo privado, la VM es visible para los sistemas externos y puede recibir una IP pública en la subred del host, pero la VM y el host no pueden acceder el uno al otro, y la VM tampoco es visible para otras VMs en el host.
Para obtener instrucciones para configurar el modo privado de macvtap
en su VM utilizando la consola web, consulte a continuación.
Requisitos previos
- Para utilizar la consola web para gestionar las máquinas virtuales, instale el complemento VM de la consola web.
- Una VM existente con la configuración NAT por defecto.
Procedimiento
En el panel Virtual Machines, haga clic en la fila con la máquina virtual que desea aislar.
Se abre un panel con la información básica de la VM.
- Haga clic en la pestaña Network Interfaces.
Haga clic en
.Se abre el diálogo
Virtual Machine Interface Settings
.- Configure Interface Type como Direct Attachment
Establezca Source en la interfaz de host de su elección.
Tenga en cuenta que la interfaz que seleccione variará en función de su caso de uso y de la configuración de red de su host.
Verificación
- Inicie la VM haciendo clic en .
En el panel Terminal de la consola web, liste las estadísticas de la interfaz para la VM. Por ejemplo, para ver el tráfico de la interfaz de red para la VM panic-room:
# virsh domstats panic-room --interface Domain: 'panic-room' net.count=1 net.0.name=macvtap0 net.0.rx.bytes=0 net.0.rx.pkts=0 net.0.rx.errs=0 net.0.rx.drop=0 net.0.tx.bytes=0 net.0.tx.pkts=0 net.0.tx.errs=0 net.0.tx.drop=0
Si el comando muestra una salida similar, la VM ha sido aislada con éxito.
Recursos adicionales
- Para obtener instrucciones sobre cómo aislar una máquina virtual mediante la línea de comandos, consulte Sección 13.3.2, “Aislar las máquinas virtuales entre sí mediante la interfaz de línea de comandos”.
-
Para obtener más información sobre el modo privado de
macvtap
, consulte Sección 13.5.6, “Fijación directa del dispositivo de red virtual”. - Para conocer las medidas de seguridad adicionales que puede establecer en una VM, consulte Capítulo 15, Asegurar las máquinas virtuales.