KVM 虛擬機的網絡模式學習及配置

                        KVM 虛擬化環境中的網絡模式

    最近學習了KVM，對它的網絡模式設置不是很清晰，就找了資料來看，大部分都表述的不是很清晰，下面是根據幾篇博客整理的，並且通過實驗驗證。以前系統學習過Vmware的網絡模式，KVM的網絡模式多少和它有些相似，還比較容易理解。

KVM 客戶機網絡連接有三種方式：
  -host-only：看網上說也叫隔離模式，個人理解就類似於Vmware的僅主機模式，意思就是將所有的虛擬機組成一個局域網，不能和外界通信，不能訪問Internet，其他主機也不能訪問虛擬主機，安全性高。
  -NAT方式： 
   - 用戶網絡（User Networking）：讓虛擬機訪問主機、互聯網或本地網絡上的資源的簡單方法，但是不能從網絡或其他的客戶機訪問客戶機，性能上也需要大的調整。
  -Bridge方式：

    - 虛擬網橋（Virtual Bridge）：這網絡模式下客戶機與宿主機處於同一網絡環境，類似於一臺真實的宿主機，直接訪問網絡資源，設置好後客戶機與互聯網，客戶機與主機之間的通信都很容易。


--------------------------------------------------------------------------------------------


host-only：


     僅(虛擬)主機模式比較簡單，拓撲圖如下：


橋接網絡介紹及配置步驟


    Bridge方式，即客戶機通過網橋連接到宿主機網絡環境中，可以使客戶機成爲網絡中具有獨立IP的主機。
     注： 客戶機，即用KVM安裝在linux宿主機中的虛擬機。
    
    橋接網絡，也叫物理設備共享，被用作把一個物理設備複製到一臺虛擬機。
                     





    網橋的基本原理就是創建一個橋接接口，並把物理主機的eth0綁定到網橋上，客戶機的網絡模式需要配置爲橋接模式，這可以在安裝的時候用 --network
bridge=br0
選項指定，也可在虛擬機xml配置文件中定義。



 - 宿主機
  1.編輯修改網絡設備腳本文件，增加網橋設備br0
 

vi /etc/sysconfig/network-scripts/ifcfg-br0
DEVICE=br0
TYPE=Bridge
ONBOOT=yes
NM_CONTROLLED=no
BOOTPROTO=static
IPADDR=192.168.8.112
NETMASK=255.255.255.0
GATEWAY=192.168.8.2
DNS1=192.168.8.2
DNS2=8.8.8.8

 

  2.編輯修改網絡設備腳本文件，修改網卡設備eth0

[root@web1 ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
HWADDR=00:0C:29:2B:3F:66
TYPE=Ethernet
UUID=dfd0c3de-5954-4c81-abe6-e7958f31549d
ONBOOT=yes
NM_CONTROLLED=no
BOOTPROTO=none
#IPADDR=192.168.8.112
#NETMASK=255.255.255.0
#GATEWAY=192.168.8.2
#DNS1=192.168.8.2
#DNS2=8.8.8.8
BRIDGE=br0            // 將 eth0 綁定到網橋接口 br0 上

 
  3.重啓網絡服務


 service network restart

  4.校驗橋接接口

[root@web1 ~]# brctl show
bridge name     bridge id               STP enabled     interfaces
br0             8000.000c292b3f66       no              eth0
                                                        vnet0
                                                        vnet1
virbr0          8000.5254000d29b0       yes             virbr0-nic



 - 客戶機  


   客戶機安裝時注意，網絡要選擇用br0橋接方式。


（1）安裝客戶機時指定：


virt-install \
--name  CentOS6.8 \
--ram 512 \
--disk path=/kvm_data/CentOS6.8.img,size=30 \
--vcpus 1 \
--os-type linux \
--os-variant rhel6 \
--network bridge=br0 \    // 橋接網絡
--graphics none \
--console pty,target_type=serial \
--location 'http://mirrors.aliyun.com/centos/6/os/x86_64/' \      // 這裏使用網絡鏡像
--extra-args 'console=ttyS0,115200n8 serial'





（2）若客戶機已經安裝好，想修改其網絡模式爲橋接，則在其xml配置文件中有定義，可以修改：


  virsh edit coohx



.....
.....   
    <interface type='bridge'>
      <mac address='52:54:00:ad:4c:86'/>
      <source bridge='br0'/>
      <model type='virtio'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
    </interface>
    <interface type='bridge'>
      <mac address='52:54:00:d5:0d:34'/>
      <source bridge='br0'/>
      <model type='virtio'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x07' function='0x0'/>
    </interface>
.....
.....

這裏虛擬機coohx的兩個網卡都是橋接網絡。


- 登錄客戶機，配置網卡ip


 這裏我給虛擬機添加了2塊網卡，eth0/1,分別對應宿主機的virnet0/virnet1,虛擬機配置如下：


vi /etc/sysconfig/network-scripts/ifcfg-eth0  // 橋接模式，連接到網橋br0.



DEVICE="eth0"
BOOTPROTO="static"
BROADCAST="192.168.8.255"
DNS1="192.168.8.2"
GATEWAY="192.168.8.2"                  // 網關爲宿主機所在局域網的網關
HWADDR="52:54:00:AD:4C:86"
IPADDR="192.168.8.16"                 // 與宿主機處於同一局域網
IPV6INIT="yes"
IPV6_AUTOCONF="yes"
NETMASK="255.255.255.0"
NM_CONTROLLED="yes"
ONBOOT="yes"
TYPE="Ethernet"
#UUID="a3b35d6a-c4b2-49e2-b35b-999c3bf3243e"





============================================================================================= 


NAT網絡簡介及配置步驟



 NAT方式是kvm安裝後的默認方式。它支持主機與虛擬機的互訪，同時也支持虛擬機訪問互聯網，但不支持外界訪問虛擬機。



列出linux宿主機當前KVM的所有網絡模式：


[root@web1 ~]# virsh net-list --all
名稱               狀態     自動開始  Persistent
--------------------------------------------------
default              活動     yes           yes

default網絡(virbr0上)是宿主機安裝kvm虛擬機自動安裝的。



查看網絡接口：


[root@web1 ~]# ifconfig -a |grep -A5 vir*
virbr0    Link encap:Ethernet  HWaddr 52:54:00:0D:29:B0
          inet addr:192.168.122.1  Bcast:192.168.122.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
--
virbr0-nic Link encap:Ethernet  HWaddr 52:54:00:0D:29:B0
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)





virbr0是由宿主機KVM相關模塊安裝的一個虛擬網絡接口（TAP設備），也是一個switch和bridge，負責把內容分發到各虛擬機。



拓撲圖如下：


virbr0是一個橋接器，給虛擬機羣虛擬了一個局域網，這個局域網的網絡號默認爲 192.168.122.0，可在宿主機上查看：


[root@web1 ~]# brctl show
bridge name     bridge id               STP enabled     interfaces
br0             8000.000c292b3f66       no              eth0
virbr0          8000.5254000d29b0       yes             virbr0-nic


[root@web1 ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0 
192.168.8.0     0.0.0.0         255.255.255.0   U     0      0        0 br0
169.254.0.0     0.0.0.0         255.255.0.0     U     1040   0        0 br0
0.0.0.0         192.168.8.2     0.0.0.0         UG    0      0        0 br0

virbr0是kvm虛擬機NAT網絡模式的重要角色，相當於Wmware中NAT網絡模式中的虛擬NAT服務器。


同時kvm 安裝時默認 NAT 網絡模式，他會修改宿主機的 iptables 規則，來實現 NAT網絡模式的功能：


其中filter表項如下：


[root@web1 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 138K packets, 20M bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           udp dpt:53 //由libvirt腳本自動寫入
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53  //由libvirt腳本自動寫入
    0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           udp dpt:67  //由libvirt腳本自動寫入
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           tcp dpt:67  //由libvirt腳本自動寫入
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      virbr0  0.0.0.0/0            192.168.122.0/24    state RELATED,ESTABLISHED //由libvirt腳本自動寫入
    0     0 ACCEPT     all  --  virbr0 *       192.168.122.0/24     0.0.0.0/0  //由libvirt腳本自動寫入
    0     0 ACCEPT     all  --  virbr0 virbr0  0.0.0.0/0            0.0.0.0/0   //由libvirt腳本自動寫入
    0     0 REJECT     all  --  *      virbr0  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
    0     0 REJECT     all  --  virbr0 *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
Chain OUTPUT (policy ACCEPT 221K packets, 18M bytes)
 pkts bytes target     prot opt in     out     source               destination





INPUT鏈接收所有的 tcp/udp包，開放端口53和67，查看系統服務監聽狀態，這兩個端口是dnsmasq服務的端口號：


[root@web1 ~]# netstat -lanp |grep -E '53|67'
tcp        0      0 192.168.122.1:53            0.0.0.0:*                   LISTEN      2178/dnsmasq
tcp        0      0 127.0.0.1:53                0.0.0.0:*                   LISTEN      1555/named
tcp        0      0 127.0.0.1:953               0.0.0.0:*                   LISTEN      1555/named
tcp        0      0 ::1:53                      :::*                        LISTEN      1555/named
tcp        0      0 ::1:953                     :::*                        LISTEN      1555/named
udp        0      0 192.168.122.1:53            0.0.0.0:*                               2178/dnsmasq
udp        0      0 127.0.0.1:53                0.0.0.0:*                               1555/named
udp        0      0 0.0.0.0:67                  0.0.0.0:*                               2178/dnsmasq
udp        0      0 ::1:53                      :::*                                    1555/named

這裏kvm需要用到dnsmasq服務，二者詳細關係，後面再總結。


再看NAT表項的規則：


[root@web1 ~]# iptables -nvL -t nat --line-numbers
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 MASQUERADE  tcp  --  *      *       192.168.122.0/24    !192.168.122.0/24    masq ports: 1024-65535
2        0     0 MASQUERADE  udp  --  *      *       192.168.122.0/24    !192.168.122.0/24    masq ports: 1024-65535
3        0     0 MASQUERADE  all  --  *      *       192.168.122.0/24    !192.168.122.0/24
4        0     0 MASQUERADE  all  --  *      *       192.168.122.0/24     0.0.0.0/0
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination

 轉發所有來自virbr0上的數據包，將他們的ip轉化爲外網IP，實現訪問internet。


  -NAT網絡配置步驟


   - 宿主機上：

從xml文件定一個NAT網絡，會被加載到虛擬機配置文件.



配置NAT網絡相關的網絡配置文件：/usr/share/libvirt/networks/default.xml的內容，這裏選擇默認


[root@web1 ~]# vim /usr/share/libvirt/networks/default.xml
<network>
  <name>default</name>     // 網絡名
  <bridge name="virbr0" />
  <forward/>
  <ip address="192.168.122.1" netmask="255.255.255.0">
    <dhcp>
      <range start="192.168.122.2" end="192.168.122.254" />
    </dhcp>
  </ip>
</network>

標記爲自動啓動：



[root@web1 ~]# virsh net-autostart default
網絡default標記爲自動啓動

啓動網絡


[root@web1 ~]# virsh net-start default


查看網絡：default已經啓動，配置文件/usr/share/libvirt/networks/default.xml


[root@web1 ~]# virsh net-list
名稱               狀態     自動開始  Persistent
--------------------------------------------------
default              活動     yes           yes


   - 客戶機上的配置：


[root@web1 ~]# virsh edit coohx


 <interface type='bridge'>
      <mac address='52:54:00:ad:4c:86'/>
      <source bridge='br0'/>
      <model type='virtio'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
    </interface>
    <interface type='network'>
      <mac address='52:54:00:d5:0d:34'/>  // 這張網卡對應宿主機的vnet1
      <source network='default'/>             //加載NAT網絡配置
      <model type='virtio'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x07' function='0x0'/>
    </interface>




啓動虛擬機，查看網橋與網卡綁定信息：

[root@web1 ~]# brctl show
bridge name     bridge id               STP enabled     interfaces
br0             8000.000c292b3f66       no              eth0
                                                        vnet0
virbr0          8000.5254000d29b0       yes             virbr0-nic
                                                        vnet1



 vnet1網卡綁定到了 virbr0上面，也就是虛擬機的eth1網卡爲NAT網絡模式。


    - 登錄客戶機，配置網卡eth1的ip


vi /etc/sysconfig/network-scripts/ifcfg-eth1   // NAT網絡模式，連接到網橋 virbr0  ，由它轉發（iptables 規則實現）

DEVICE="eth1"
BOOTPROTO="static"
BROADCAST="192.168.122.255"
DNS1="192.168.122.1"
GATEWAY="192.168.122.1"           // 網關爲 virbr0
HWADDR="52:54:00:d5:0d:34"
IPADDR="192.168.122.112"
IPV6INIT="yes"
IPV6_AUTOCONF="yes"
NETMASK="255.255.255.0"
NM_CONTROLLED="no"
ONBOOT="yes"
TYPE="Ethernet"
#UUID="a3b35d6a-c4b2-49e2-b35b-999c3bf3243e"



   - 驗證：

[root@KVM-2 ~]# traceroute www.baidu.com
traceroute to www.baidu.com (61.135.169.125), 30 hops max, 60 byte packets
 1  bogon (192.168.122.1)  4.666 ms  4.330 ms  4.315 ms     // 數據包先到 virbr0上，再由iptables 規則轉發
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  *
[root@KVM-2 ~]# ping www.baidu.com                             
PING www.a.shifen.com (61.135.169.121) 56(84) bytes of data.
64 bytes from 61.135.169.121: icmp_seq=1 ttl=127 time=22.7 ms
64 bytes from 61.135.169.121: icmp_seq=2 ttl=127 time=24.0 ms
--- www.a.shifen.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1121ms
rtt min/avg/max/mdev = 22.774/23.414/24.054/0.640 ms



總結： 
     配置了kvm的網絡環境，感覺和 Vmware 的網絡模式差不多，Vmware有三種網絡模式：橋接、Host-only、NAT，配置比較方便。 這裏的virbr0結合iptables規則以後實現的nat功能和Vmware中NAT網絡模式中虛擬NAT服務器所實現的功能一樣，只不過需要手動配置，比較麻煩。


參考：http://www.linuxidc.com/Linux/2016-05/131830.htm 


http://blog.csdn.net/samlei/article/details/7598700 


http://blog.csdn.net/samlei/article/details/7598700  


KVM 虛擬機的網絡模式學習及配置

公司剛入職了一名 Java 中級開發，短短 4 行代碼居然湊齊了 3 個 bug！我哭了~~

Nginx R31 doc-13-Limiting Access to Proxied HTTP Resources 訪問限流

中外程序員到底有啥區別？

Python數據分析與挖掘實戰（5章）

python包：pandas

C++文件/流

一、什麼是Docker

二、Docker 組件

揹包九講一 01揹包

今天！通義靈碼在北京、成都、杭州三城開講啦

linux下-正則基礎

sed 語法深入

Session 和 Cookie

Linux 文件系統與目錄樹

監控腳本報錯

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結