17.4. 仮想マシンのネットワーク接続の種類
仮想マシンのネットワークプロパティーと動作を変更するには、仮想マシンが使用する仮想ネットワークまたはインターフェイスの種類を変更します。次のセクションでは、RHEL 9 の仮想マシンで利用可能な接続の種類を説明します。
17.4.1. ネットワークアドレス変換のある仮想ネットワーク
デフォルトでは、仮想ネットワークスイッチはネットワークアドレス変換 (NAT) モードで動作します。Source-NAT (SNAT) または Destination-NAT (DNAT) の代わりに IP マスカレードを使用します。IP マスカレードで接続されている仮想マシンは、外部ネットワークとの通信にホストマシンの IP アドレスを使用できるようになります。ホスト外のコンピューターは、仮想ネットワークスイッチが NAT モードで動作している場合に、ホスト内部の仮想マシンと通信ができません。
仮想ネットワークスイッチは、ファイアウォールルールで設定された NAT を使用します。スイッチの実行中にこのルールを編集することは推奨されていません。誤ったルールがあると、スイッチが通信できなくなる可能性があるためです。
17.4.2. ルーティングモードの仮想ネットワーク
ルーティング モードを使用する場合は、仮想スイッチを、ホストマシンに接続された物理 LAN に接続し、NAT を使用せずにトラフィックをやり取りします。仮想スイッチは、すべてのトラフィックを調べ、ネットワークパケットに含まれる情報を使用して、ルーティングの決定を行うことができます。このモードを使用すると、仮想マシンはすべて 1 つのサブネット内に入り、ホストマシンから分離されます。仮想マシンサブネットは、ホストマシンにある仮想スイッチを介してルーティングされます。これにより、着信接続が有効になりますが、外部ネットワークのシステムに追加のルーティングテーブルエントリーが必要になります。
ルーティングモードは、IP アドレスベースのルーティングを使用します。
ルーティングモードを使用する一般的なトポロジーは、仮想サーバーホスティング (VSH) です。VSH プロバイダーには複数のホストマシンがあり、それぞれに 2 つの物理ネットワーク接続がある場合があります。管理とアカウンティングにはいずれかのインターフェイスが使用されており、もう 1 つは仮想マシンによる接続に使用されます。各仮想マシンには独自のパブリック IP アドレスがありますが、ホストマシンはプライベート IP アドレスを使用するため、内部管理者のみが仮想マシンを管理できます。
17.4.3. ブリッジモードの仮想ネットワーク
その他の仮想マシンネットワークモードは、仮想ブリッジ virbr0
を自動的に作成して接続します。一方、ブリッジ モードでは、仮想マシンはホストの既存の Linux ブリッジに接続します。これにより、仮想マシンが物理ネットワークに直接表示されます。これにより、着信接続が有効になりますが、追加のルーティングテーブルエントリーは必要ありません。
ブリッジモードは、MAC アドレスをベースにした接続スイッチを使用します。
ブリッジモードでは、仮想マシンがホストマシンと同じサブネットに表示されます。同じ物理ネットワーク上にある他の物理マシンはすべて、仮想マシンを検出してアクセスできます。
ブリッジネットワークボンディング
ハイパーバイザーで複数の物理ブリッジインターフェイスを使用する場合は、ボンドで複数のインターフェイスを結合します。ボンドをブリッジに追加すると、仮想マシンをブリッジに追加できるようになります。ただし、ボンディングドライバーにはいくつかの動作モードがあり、このモードのすべてが、仮想マシンが使用されているブリッジで機能するわけではありません。
以下の ボンディングモード を使用できます。
- モード 1
- モード 2
- モード 4
対照的に、モード 0、3、5、または 6 を使用すると、接続が失敗する可能性が高くなります。また、アドレス解決プロトコル (ARP) の監視が正しく機能しないため、MII (Media-Independent Interface) 監視を使用してボンディングモードを監視する必要があります。
ボンディングモードの詳細は、Red Hat ナレッジベース を参照してください。
一般的なシナリオ
ブリッジモードにおける最も一般的なユースケースには、たとえば以下のようなものがあります。
- ホストマシンとともに既存のネットワークに仮想マシンをデプロイし、仮想マシンと物理マシンの相違点をエンドユーザーに見えないようにする。
- 既存の物理ネットワーク設定を変更せずに仮想マシンをデプロイする。
- 既存の物理ネットワークから簡単にアクセスできる必要がある仮想マシンをデプロイする。また、DHCP サービスにアクセスする必要のある物理ネットワークに仮想マシンを配置する。
- 仮想 LAN (VLAN) が使用されている既存のネットワークに仮想マシンを接続する。
- 非武装地帯 (DMZ) ネットワーク。仮想マシンを使用した DMZ デプロイメントの場合、Red Hat は、物理ネットワークのルーターとスイッチで DMZ を設定し、ブリッジモードを使用して仮想マシンを物理ネットワークに接続することを推奨しています。
17.4.4. 分離モードの仮想ネットワーク
分離 モードを使用すると、仮想スイッチに接続されている仮想マシンは相互に通信でき、ホストマシンとも通信できますが、トラフィックはホストマシンの外部を通過せず、ホストマシンの外部からトラフィックを受信することができません。DHCP などの基本的な機能には、このモードの dnsmasq
を使用する必要があります。
17.4.5. オープンモードの仮想ネットワーク
ネットワークに オープン モードを使用する場合、libvirt
はネットワークにファイアウォールルールを生成しません。したがって、libvirt
はホストが提供するファイアウォールルールを上書きせず、仮想マシンのファイアウォールルールを手動で管理できます。
17.4.6. 仮想マシンの接続タイプの比較
以下の表では、選択したタイプの仮想マシンネットワーク設定が接続できる場所と、表示できる内容を示します。
ホストへの接続 | ホスト上の他の仮想マシンへの接続 | 外部ロケーションへの接続 | 外部の場所に表示可能か | |
---|---|---|---|---|
ブリッジモード | はい | はい | はい | はい |
NAT | はい | はい | はい | いいえ |
ルーティングモード | はい | はい | はい | はい |
分離モード | はい | はい | いいえ | いいえ |
オープンモード | ホストのファイアウォールルールにより異なります。 |