17.4. Types de connexions réseau des machines virtuelles
Pour modifier les propriétés de mise en réseau et le comportement de vos machines virtuelles, changez le type de réseau virtuel ou d'interface que les machines virtuelles utilisent. Les sections suivantes décrivent les types de connexion disponibles pour les VM dans RHEL 9.
17.4.1. Mise en réseau virtuelle avec traduction d'adresses de réseau
Par défaut, les commutateurs de réseau virtuel fonctionnent en mode de traduction d'adresse réseau (NAT). Ils utilisent le masquage IP plutôt que le Source-NAT (SNAT) ou le Destination-NAT (DNAT). Le masquage IP permet aux machines virtuelles connectées d'utiliser l'adresse IP de la machine hôte pour communiquer avec n'importe quel réseau externe. Lorsque le commutateur de réseau virtuel fonctionne en mode NAT, les ordinateurs externes à l'hôte ne peuvent pas communiquer avec les machines virtuelles à l'intérieur de l'hôte.
Les commutateurs de réseau virtuel utilisent le NAT configuré par des règles de pare-feu. Il n'est pas recommandé de modifier ces règles pendant que le commutateur fonctionne, car des règles incorrectes peuvent empêcher le commutateur de communiquer.
17.4.2. Réseau virtuel en mode routé
En utilisant le mode Routed, le commutateur virtuel se connecte au LAN physique connecté à la machine hôte, transmettant le trafic dans les deux sens sans utiliser de NAT. Le commutateur virtuel peut examiner tout le trafic et utiliser les informations contenues dans les paquets réseau pour prendre des décisions de routage. Dans ce mode, les machines virtuelles (VM) se trouvent toutes dans un sous-réseau unique, séparé de la machine hôte. Le sous-réseau des machines virtuelles est acheminé via un commutateur virtuel, qui existe sur la machine hôte. Cela permet d'établir des connexions entrantes, mais nécessite des entrées supplémentaires dans la table de routage pour les systèmes sur le réseau externe.
Le mode routé utilise le routage basé sur l'adresse IP :
L'hébergement de serveurs virtuels (VSH) est une topologie courante qui utilise le mode routé. Un fournisseur VSH peut avoir plusieurs machines hôtes, chacune avec deux connexions réseau physiques. Une interface est utilisée pour la gestion et la comptabilité, l'autre pour la connexion des machines virtuelles. Chaque VM possède sa propre adresse IP publique, mais les machines hôtes utilisent des adresses IP privées afin que seuls les administrateurs internes puissent gérer les VM.
17.4.3. Réseau virtuel en mode ponté
Dans la plupart des modes de mise en réseau des VM, les VM créent automatiquement le pont virtuel virbr0
et s'y connectent. En revanche, en mode bridged, la VM se connecte à un pont Linux existant sur l'hôte. Par conséquent, la VM est directement visible sur le réseau physique. Cela permet les connexions entrantes, mais ne nécessite pas d'entrées supplémentaires dans la table de routage.
Le mode ponté utilise la commutation de connexion basée sur l'adresse MAC :
En mode ponté, la VM apparaît dans le même sous-réseau que la machine hôte. Toutes les autres machines physiques sur le même réseau physique peuvent détecter la VM et y accéder.
Liaison entre réseaux pontés
Il est possible d'utiliser plusieurs interfaces de pont physiques sur l'hyperviseur en les reliant par un lien. Le lien peut ensuite être ajouté à un pont, après quoi les machines virtuelles peuvent également être ajoutées au pont. Cependant, le pilote de liaison a plusieurs modes de fonctionnement, et tous ces modes ne fonctionnent pas avec une passerelle où des machines virtuelles sont en cours d'utilisation.
Les modes de liaison suivants sont utilisables :
- mode 1
- mode 2
- mode 4
En revanche, les modes 0, 3, 5 ou 6 sont susceptibles de faire échouer la connexion. Notez également que la surveillance des interfaces indépendantes du support (MII) doit être utilisée pour surveiller les modes de liaison, car la surveillance du protocole de résolution d'adresses (ARP) ne fonctionne pas correctement.
Pour plus d'informations sur les modes de liaison, reportez-vous à la base de connaissances de Red Hat.
Scénarios courants
Les cas d'utilisation les plus courants du mode ponté sont les suivants :
- Déploiement de machines virtuelles dans un réseau existant aux côtés de machines hôtes, rendant la différence entre machines virtuelles et physiques invisible pour l'utilisateur final.
- Déploiement de machines virtuelles sans modification des paramètres de configuration du réseau physique existant.
- Déploiement de machines virtuelles qui doivent être facilement accessibles à un réseau physique existant. Placer des machines virtuelles sur un réseau physique où elles doivent accéder à des services DHCP.
- Connexion des machines virtuelles à un réseau existant où des réseaux locaux virtuels (VLAN) sont utilisés.
- Un réseau de zone démilitarisée (DMZ). Pour un déploiement DMZ avec des machines virtuelles, Red Hat recommande de configurer la DMZ au niveau du routeur et des commutateurs du réseau physique, et de connecter les machines virtuelles au réseau physique en utilisant le mode ponté.
17.4.4. Mise en réseau virtuelle en mode isolé
En utilisant le mode isolated, les machines virtuelles connectées au commutateur virtuel peuvent communiquer entre elles et avec la machine hôte, mais leur trafic ne passera pas en dehors de la machine hôte, et elles ne peuvent pas recevoir de trafic en provenance de l'extérieur de la machine hôte. L'utilisation de dnsmasq
dans ce mode est nécessaire pour les fonctionnalités de base telles que DHCP.
17.4.5. Mise en réseau virtuelle en mode ouvert
Lorsque le mode open est utilisé pour la mise en réseau, libvirt
ne génère aucune règle de pare-feu pour le réseau. Par conséquent, libvirt
n'écrase pas les règles de pare-feu fournies par l'hôte, et l'utilisateur peut donc gérer manuellement les règles de pare-feu de la VM.
17.4.6. Comparaison des types de connexion des machines virtuelles
Le tableau suivant fournit des informations sur les emplacements auxquels certains types de configurations réseau de machines virtuelles (VM) peuvent se connecter et sur lesquels elles sont visibles.
Connexion à l'hôte | Connexion à d'autres machines virtuelles sur l'hôte | Connexion à des sites extérieurs | Visible de l'extérieur | |
---|---|---|---|---|
Bridged mode | OUI | OUI | OUI | OUI |
NAT | OUI | OUI | OUI | no |
Routed mode | OUI | OUI | OUI | OUI |
Isolated mode | OUI | OUI | no | no |
Open mode | Depends on the host’s firewall rules |