Início / computer / Perguntas / 1656250
Accepted
Eduardo Lucio
Asked: 2021-06-12 13:48:48 +0800 CST

Rede de máquina virtual KVM - Rede apenas convidado-convidado/VM-VM (sem acesso de host/hipervisor, sem conectividade de saída)

  • 772

Eu sei que com o comando virsh posso criar vários tipos de redes (uma "rede NAT", por exemplo) como podemos ver nessas URLs...

Gerenciamento de rede KVM Rede
baseada em NAT padrão KVM (página 33)

PERGUNTA: Como posso criar uma rede ( lan_n ) onde apenas os convidados/VMs tenham conectividade, sem conectividade de saída e sem conectividade de host/hipervisor?

NOTA: A conectividade com outros recursos será fornecida por um servidor de firewall pfSense que terá acesso a outra rede ( wan_n ) com conectividade de saída e outros recursos.

Network layout...

                [N]wan_n
                 ↕
                [I]wan_n
            [V]pfsense_vm
                [I]lan_n
                 ↕
                [N]lan_n
                 ↕
   .............................
   ↕             ↕             ↕
  [V]some_vm_0  [V]some_vm_1  [V]some_vm_4
                [V]some_vm_2  [V]some_vm_5
                [V]some_vm_3

 _ [N] - Network;
 _ [I] - Network Interface;
 _ [V] - Virtual Machine.

NOTA: O sistema operacional do host/hipervisor é o CentOS 7 .

Obrigado! =D

virtualization networking

1 respostas

  1. Best Answer

    Crie uma nova configuração de rede sem endereços de gateway no KVM ("muito privado" ou "muito isolado")

    Esse tipo de rede pode ser usado para uma rede muito privada ou muito isolada , pois não será possível se comunicar com o host de virtualização por meio dessa rede. No entanto, essa interface de rede virtual pode ser usada para comunicação entre sistemas convidados virtuais. Isso funciona para IPv4 e IPv6. No entanto, o novo ipv6='yes' deve ser adicionado para comunicação IPv6 de convidado para convidado.

    • Verifique o status das redes no KVM e no SO

    Verifique as redes em uso pelo KVM...

    brctl show

    Verifique as redes virtuais KVM...

    virsh net-list

    Verifique as redes no SO...

    ip a
    • Crie uma nova configuração de rede sem endereços de gateway

    MODELO

    read -r -d '' FILE_CONTENT << 'HEREDOC'
BEGIN
<network>
  <name>[MY_NETWORK_NAME]</name>
  <uuid>[MY_NETWORK_UUID]</uuid>
  <bridge name='virbr[MY_NETWORK_NUMBER]' stp='on' delay='0'/>
  <mac address='52:54:00:[MY_NETWORK_MAC_FINAL]'/>
</network>

END
HEREDOC
echo -n "${FILE_CONTENT:6:-3}" > '/usr/share/libvirt/networks/[MY_NETWORK_NAME].xml'
    1. "[MY_NETWORK_NAME]" - Nome em letras minúsculas sem espaços e caracteres especiais;
    2. "[MY_NETWORK_UUID]" ("uuid" é OPCIONAL) - Você pode gerar um novo na URL https://www.uuidgenerator.net/version4 ;
    3. "[MY_NETWORK_NUMBER]" - Usamos o prefixo "virbr" para seguir a "convenção" de nomenclatura existente;
    4. "[MY_NETWORK_MAC_FINAL]" ("mac" é OPCIONAL) - O prefixo "52:54:00:" é sempre o mesmo, caso contrário, ocorrerá o erro "endereço mac de ponte multicast inválido". Você pode gerar um novo na URL https://miniwebtool.com/mac-address-generator/ .

    EXEMPLO

    read -r -d '' FILE_CONTENT << 'HEREDOC'
BEGIN
<network>
  <name>okd_very_private</name>
  <uuid>cbc4be8a-1fc5-4e1a-8065-e12dab7d4175</uuid>
  <bridge name='virbr1' stp='on' delay='0'/>
  <mac address='52:54:00:CB:8A:F0'/>
</network>

END
HEREDOC
echo -n "${FILE_CONTENT:6:-3}" > '/usr/share/libvirt/networks/okd_very_private.xml'

    Adicione o novo arquivo XML de definição de rede ao libvirt...

    MODELO

    virsh net-define "/usr/share/libvirt/networks/[MY_NETWORK_NAME].xml"

    EXEMPLO

    virsh net-define "/usr/share/libvirt/networks/okd_very_private.xml"

    NOTA: O "net-define" é uma alternativa ao "net-create". Use isso quando quiser uma rede virtual persistente que durará por meio de reinicializações e desligamentos, em vez de uma rede transitória criada usando "net-create".

    Inicie a nova rede...

    MODELO

    virsh net-start [MY_NETWORK_NAME]

    EXEMPLO

    virsh net-start okd_very_private

    Para configurar a nova rede para inicializar automaticamente toda vez que o host KVM for reinicializado...

    MODELO

    virsh net-autostart [MY_NETWORK_NAME]

    EXEMPLO

    virsh net-autostart okd_very_private

    DICA: Para ver os detalhes de configuração de uma rede específica definida na libvirt, use o comando...

    MODELO

    virsh net-dumpxml [MY_NETWORK_NAME]

    EXEMPLO

    virsh net-dumpxml okd_very_private

    .

    [Ref(s): https://libvirt.org/formatnetwork.html#examplesNoGateway ]

    Um agradecimento especial a @berndbausch! =D

    • 0

relate perguntas