Red Hat SummitChapitre 17. Configuration des connexions réseau des machines virtuelles
Pour que vos machines virtuelles (VM) puissent se connecter sur un réseau à votre hôte, à d'autres VM sur votre hôte et à des emplacements sur un réseau externe, la mise en réseau de la VM doit être configurée en conséquence. Pour assurer la mise en réseau des VM, l'hyperviseur RHEL 9 et les VM nouvellement créées disposent d'une configuration réseau par défaut, qui peut également être modifiée. Cette configuration peut être modifiée :
- Vous pouvez permettre aux VM de votre hôte d'être découvertes et connectées à partir d'emplacements situés en dehors de l'hôte, comme si les VM se trouvaient sur le même réseau que l'hôte.
- Vous pouvez isoler partiellement ou totalement une VM du trafic réseau entrant afin d'accroître sa sécurité et de minimiser le risque que des problèmes liés à la VM aient un impact sur l'hôte.
Les sections suivantes expliquent les différents types de configuration de réseau VM et fournissent des instructions pour mettre en place les configurations de réseau VM sélectionnées.
17.1. Comprendre les réseaux virtuels
La connexion des machines virtuelles (VM) à d'autres périphériques et emplacements sur un réseau doit être facilitée par le matériel hôte. Les sections suivantes expliquent les mécanismes de connexion au réseau des machines virtuelles et décrivent les paramètres par défaut du réseau des machines virtuelles.
17.1.1. Fonctionnement des réseaux virtuels
La mise en réseau virtuelle utilise le concept de commutateur de réseau virtuel. Un commutateur de réseau virtuel est une construction logicielle qui fonctionne sur une machine hôte. Les machines virtuelles se connectent au réseau par l'intermédiaire du commutateur de réseau virtuel. En fonction de la configuration du commutateur virtuel, une machine virtuelle peut utiliser un réseau virtuel existant géré par l'hyperviseur ou une méthode de connexion au réseau différente.
La figure suivante montre un commutateur de réseau virtuel connectant deux machines virtuelles au réseau :
Du point de vue d'un système d'exploitation invité, une connexion réseau virtuelle est identique à une connexion réseau physique. Les machines hôtes considèrent les commutateurs réseau virtuels comme des interfaces réseau. Lorsque le service virtnetworkd est installé et démarré pour la première fois, il crée virbr0, l'interface réseau par défaut des machines virtuelles.
Pour afficher des informations sur cette interface, utilisez l'utilitaire ip sur l'hôte.
$ ip addr show virbr0
3: virbr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state
UNKNOWN link/ether 1b:c4:94:cf:fd:17 brd ff:ff:ff:ff:ff:ff
inet 192.0.2.1/24 brd 192.0.2.255 scope global virbr0Par défaut, toutes les machines virtuelles d'un même hôte sont connectées au même réseau virtuel de type NAT, appelé default, qui utilise l'interface virbr0. Pour plus d'informations, voir Configuration par défaut du réseau virtuel.
Pour un accès de base au réseau sortant uniquement à partir des machines virtuelles, aucune configuration réseau supplémentaire n'est généralement nécessaire, car le réseau par défaut est installé avec le paquetage libvirt-daemon-config-network et est automatiquement lancé lorsque le service virtnetworkd est démarré.
Si vous avez besoin d'une fonctionnalité réseau VM différente, vous pouvez créer des réseaux virtuels et des interfaces réseau supplémentaires et configurer vos VM pour qu'elles les utilisent. Outre le NAT par défaut, ces réseaux et interfaces peuvent être configurés pour utiliser l'un des modes suivants :
17.1.2. Configuration par défaut du réseau virtuel
Lorsque le service virtnetworkd est installé pour la première fois sur un hôte de virtualisation, il contient une configuration initiale de réseau virtuel en mode de traduction d'adresse réseau (NAT). Par défaut, toutes les machines virtuelles de l'hôte sont connectées au même réseau virtuel libvirt, appelé default. Les machines virtuelles sur ce réseau peuvent se connecter à des emplacements à la fois sur l'hôte et sur le réseau au-delà de l'hôte, mais avec les limitations suivantes :
-
Les VM sur le réseau sont visibles par l'hôte et les autres VM sur l'hôte, mais le trafic réseau est affecté par les pare-feu dans la pile réseau du système d'exploitation invité et par les règles de filtrage du réseau
libvirtattachées à l'interface de l'invité. - Les machines virtuelles sur le réseau peuvent se connecter à des emplacements extérieurs à l'hôte, mais ne sont pas visibles pour eux. Le trafic sortant est affecté par les règles NAT, ainsi que par le pare-feu du système hôte.
Le diagramme suivant illustre la configuration par défaut du réseau VM :
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}