Hypervisorit ovat työkaluja, joilla luodaan virtuaalikoneita (VM) isännöintipalveluita, testausta ja ohjelmistokehitystä varten suojatussa ympäristössä. Valitettavasti tämä suojaustaso on mahdollista vain hiekkalaatikolla virtuaalikone kokonaan fyysisestä maailmasta, mikä on ongelma, jos projekti tarvitsee verkottumista.
Tästä syystä hypervisorit tarjoavat erilaisia verkkotiloja, jotka tarjoavat virtuaalikoneelle verkko-ominaisuuksia säilyttäen samalla jonkin verran suojaustasoa. Nämä verkkotilat sisältävät NAT-, siltaverkot ja vain isäntäverkot.
Mitä NAT-, silta- ja vain isäntäverkkotilat siis tarkalleen ottaen ovat? Miten ne toimivat ja mitä kannattaa käyttää?
Mikä on NAT?
Network Address Translation (NAT) on verkkotila, jossa isännät kääntävät virtuaalikoneen IP-osoitteen reitittimelle, jotta VM voi muodostaa yhteyden Internetiin.
Periaatteessa, kun muodostat yhteyden Internetiin, virtuaalikoneen IP-osoite peitetään isännän IP-osoitteella. Tämä tila ei salli virtuaalikoneiden välistä yhteyttä, eikä se salli VM: n kommunikoida muiden fyysisten koneiden kanssa isäntäkonetta lukuun ottamatta.
VM: lle annetaan an IP-osoite virtuaalisen DHCP-palvelimen kautta, joka on linkitetty fyysisen isännän verkkomodeemi, ei fyysisen reitittimen DHCP-palvelinta. Virtuaalinen DHCP-palvelin luodaan automaattisesti aina, kun virtuaalikone tehdään. Tämä tarkoittaa, että NAT-sovitinta käyttävän virtuaalikoneen IP-osoitteella voi olla sama IP-osoite kuin toisella virtuaalikoneella ilman ongelmia. Tämä tarkoittaa kuitenkin myös sitä, että jokainen fyysisen isäntäkoneen isännöimä VM ei voi olla vuorovaikutuksessa toistensa kanssa, koska niillä on sama IP-osoite.
Tapauksissa, joissa virtuaalikoneet vaativat toimivan NAT: n ja verkkoyhteyden keskenään, jotkin hypervisorit, kuten VirtualBox, tarjoavat vaihtoehtoja "NAT-verkko"-tilaan.
Mikä on vain isäntäverkko?
Vain isäntäverkko tarjoaa korkeimman tason verkkosuojauksen vastineeksi erittäin rajallisista verkkoominaisuuksista. Esimerkiksi vain isäntäverkko sallii kaikkien virtuaalikoneiden ja isäntäkoneen muodostaa verkkoja keskenään samalla kun ne on erotettu fyysisestä verkosta. Ja koska isäntäkone ei käännä virtuaalikoneiden osoitetta, reititin ei voi tarjota niille Internet-yhteyttä.
Vain isäntäverkko käyttää virtuaalista DHCP-palvelinta isäntäkoneesta antamaan jokaiselle VM: lle yksilöllinen IP-osoite. MAC-osoitteet asetetaan automaattisesti, mutta voit muuttaa MAC-osoitetta ja IP-osoitetta, jos haluat.
Mikä on siltaverkko?
Siltaverkko on kaikista verkkoyhteystyypeistä sallivin.
Sen avulla virtuaalikone voi verkottua muiden virtuaalikoneiden ja kaikkien fyysisen verkon fyysisten koneiden kanssa. Vaikka siltaverkko tarjoaa virtuaalikoneille kaikki verkkotoiminnot, se myös merkittävästi heikentää sen turvallisuutta, koska virtuaalikoneet ovat myös alttiita verkkohaavoittuvuuksille, kuten avoimelle fyysinen verkko.
Siltasovitin tarjoaa jokaiselle virtuaalikoneelle ainutlaatuisen IP-osoitteen fyysisen verkon aliverkossa. Virtuaalikoneet eivät saa IP-osoitettaan virtuaaliselta DHCP-palvelimelta, vaan verkkosi fyysiseltä reitittimeltä. Käyttääkseen siltaverkkoa käyttäjän on valittava manuaalisesti sillattu sovitintila hypervisorissa ja asetettava yksilölliset MAC-osoitteet kullekin virtuaalikoneelle.
NAT-, silta- ja vain isäntäverkkojen vertailu
NAT-, siltaverkot ja vain isäntäverkot ovat kolme yleisintä verkkotilaa, joita virtuaalikoneet käyttävät yhteyksissä. Yhteystilasta riippuen virtuaalikoneellasi on eriasteisia verkkoominaisuuksia. Vaikka IP: n avaaminen kaikille yhteyksille saattaa tuntua kätevältä ja hyödylliseltä, täysin avoimen yhteyden aiheuttama riski ei ole mukavuuden arvoinen. Lisäksi oikean verkkotilan asettaminen on helppoa ja se voidaan tehdä muutamassa sekunnissa.
Tärkeintä on, että sinun on ymmärrettävä, mikä verkkotila sopii paremmin tarpeisiisi. Jotta ymmärtäminen olisi helpompaa, tässä on taulukko siitä, mitä kukin verkkotila tarjoaa:
Verkkotila |
Pääsy muihin virtuaalikoneisiin |
Pääsy isäntään |
Pääsy fyysisiin koneisiin |
Internet-yhteys |
|---|---|---|---|---|
NAT |
Ei |
Kyllä (yksisuuntainen) |
Ei |
Joo |
Sillattu |
Joo |
Joo |
Joo |
Joo |
Vain isäntä |
Joo |
Joo |
Ei |
Ei |
NAT vs. Siltatila vs. Vain isäntä: mitä verkkotilaa käyttää?
Virtuaalikoneen käyttöön on monia käytännön sovelluksia. Monet näistä sovelluksista ovat yleensä testaus-, koulutus-, kehitys- ja hosting-palveluita.
Taulukon perusteella NAT on rajoitettu muodostamasta yhteyttä muihin virtuaalikoneisiin ja fyysisen verkon koneisiin. VM: t, jotka on määritetty käyttämään NAT: ia, ovat näkymättömiä fyysisille koneille ja muille isäntäkoneen isännöimille virtuaalikoneille. Ja koska muut koneet eivät näe NAT-kokoonpanossa olevaa virtuaalikonetta, mahdollisten porttien tarkistushyökkäysten riski on eliminoitu.
Tämä tekee NAT: sta sopivan verkkoyhteyden testausprojekteihin, joissa virtuaalikone on eristettävä, mutta tarvitsee myös Internet-yhteyden. Lisäksi NAT: ta voivat käyttää myös laitokset, jotka käyttävät virtuaalikoneita asiakkaina Internetin selaamiseen ja erilaisiin yritystehtäviin.
Toisaalta siltaverkkokokoonpano mahdollistaa yhteyden samalla tavalla asetettuihin virtuaalikoneisiin, isäntäkoneeseen, palvelimella oleviin fyysisiin koneisiin ja Internetiin. Tämä tila antaa täyden verkkoyhteyden pienimmän suojan kustannuksella. Esimerkiksi siltaverkko on tarpeen, jos virtuaalikone isännöi verkkopalvelinta, tiedostopalvelinta tai sähköpostipalvelinta.
Päinvastoin kuin siltaverkko, vain isäntäverkko tarjoaa parhaan verkkoturvallisuuden heikon yhteyden kustannuksella. Siltaverkko sallii yhteyden vain isäntään ja muihin virtuaalikoneisiin. Vaikka hyvin eristetty, vain isäntä yhteyttä on parasta käyttää, kun määrität yksityisen virtuaaliverkon testausta ja oppimista varten Kyberturvallisuus.
Voit sekoittaa ja yhdistää erilaisia virtuaalikoneen verkkotiloja
Testaus-, kehitys- ja isännöintipalvelut ovat melko laajoja virtuaalikoneiden käyttöalueita. Erikoisemmissa tehtävissä saatat kuitenkin kohdata tilanteita, joissa NAT-, silta- tai vain isäntäverkkotilat eivät sovi tarvitsemaasi yhteystyyppiin.
Räätälöidäksesi verkkotilaasi, voit yhdistellä yhteystiloja. Tämä on mahdollista, koska hypervisorit antavat virtuaalikoneille usein neljästä kahdeksaan verkkosovitinta. Joten voit tarvittaessa käyttää useita verkkotiloja. Tarvitset esimerkiksi verkon, jossa on Internet ja VM-to-VM-yhteys, vaikka se on näkymätön fyysiselle verkolle. Yhdistät NAT- ja vain isäntäverkkotilat luodaksesi tällaisen yhteyden.
Ja siinä on periaatteessa kaikki mitä sinun tarvitsee tietää VM-verkkotiloista. Toivottavasti voit nyt käyttää ja mukauttaa VM-verkkojasi.
