Hypervisors הם כלים המשמשים ליצירת מכונות וירטואליות (VMs) עבור שירותי אירוח, בדיקות ופיתוח תוכנה בסביבה מאובטחת. למרבה הצער, רמת אבטחה זו אפשרית רק על ידי ארגז חול מלא של המכונה הוירטואלית מהעולם הפיזי, וזו בעיה אם הפרויקט זקוק לרשת כלשהי.
מסיבה זו, היפרוויזורים מציעים מצבי רשת שונים כדי לספק יכולות רשת ל-VM תוך שמירה על רמה מסוימת של אבטחה. מצבי רשת אלה כוללים NAT, רשתות מגושרות ורשתות מארח בלבד.
אז מה הם בעצם מצבי רשת NAT, מגושרים ומארח בלבד? איך הם עובדים, ובאיזה כדאי להשתמש?
מה זה NAT?
תרגום כתובות רשת (NAT) הוא מצב רשת שבו המארחים מתרגמים את כתובת ה-IP של ה-VM לנתב כדי שה-VM יכול להתחבר לאינטרנט.
בעיקרון, בעת חיבור לאינטרנט, כתובת ה-IP של ה-VM מוסווה על ידי כתובת ה-IP של המארח. מצב זה אינו מאפשר חיבור בין מחשבי VM, ואינו מאפשר ל-VM לתקשר עם מכונות פיזיות אחרות מלבד המארח.
ל-VM ניתן כתובת ה - IP דרך שרת DHCP וירטואלי המקושר ל- מודם הרשת של המארח הפיזי, לא שרת ה-DHCP מהנתב הפיזי. שרת DHCP וירטואלי נוצר אוטומטית בכל פעם שנוצרת מכונה וירטואלית. משמעות הדבר היא שכתובת ה-IP של VM המשתמש במתאם NAT יכולה להיות בעלת כתובת IP זהה ל-VM אחר מבלי לגרום לבעיות. עם זאת, זה גם אומר שכל VM שמתארח על ידי המחשב המארח הפיזי לא יכול לקיים אינטראקציה זה עם זה מכיוון שהם חולקים את אותו IP.
במקרים שבהם מחשבי VM דורשים NAT עובד וחיבור רשת אחד עם השני, כמה היפרוויזורים כגון VirtualBox מספקים אפשרויות למצב "רשת NAT".
מהי רשת מארח בלבד?
רשת מארח בלבד מספקת את הרמה הגבוהה ביותר של אבטחת רשת בתמורה ליכולות רשת מוגבלות מאוד. לדוגמה, רשת מארח בלבד מאפשרת לכל ה-VMs והמחשב המארח לרשת זה עם זה תוך ניתוק מהרשת הפיזית. ומכיוון שהמכונה המארחת לא מתרגמת את הכתובת עבור ה-VMs, הנתב לא יכול לספק להם גישה לאינטרנט.
רשת מארח בלבד משתמש בשרת DHCP וירטואלי מהמחשב המארח לתת כתובת IP ייחודית לכל VM. כתובות MAC מוגדרות אוטומטית, אך תוכל לשנות את כתובת ה-MAC וכתובת ה-IP אם תרצה בכך.
מהי רשת מגשרת?
רשת מגושרת היא המתירנית ביותר מכל סוגי חיבורי הרשת.
זה מאפשר ל-VM להתחבר לרשתות עם VMs אחרים וכל המכונות הפיזיות ברשת הפיזית. למרות שרשת מגושרת מספקת למכשירי VM את כל פונקציונליות הרשת, היא גם משמעותית מקטין את האבטחה שלו מכיוון שה-VMs רגישים גם לפרצות רשת, בדומה ל-Open רשת פיזית.
מתאם גשר מספק לכל VM כתובת IP ייחודית בתוך רשת המשנה הפיזית של הרשת. מכשירי VM מקבלים את כתובת ה-IP שלהם לא משרת DHCP וירטואלי אלא מהנתב הפיזי ברשת שלך. כדי להשתמש ברשת מגושרת, על המשתמש לבחור באופן ידני את מצב המתאם המגושר ב-Hypervisor ולהגדיר כתובות MAC ייחודיות לכל VM.
השוואת רשתות NAT, מגשרות ורשתות מארח בלבד
רשתות NAT, מגושרות ומארחות בלבד הן שלוש ממצבי הרשת הנפוצים ביותר שמכונות וירטואליות משתמשות בהן לצורך קישוריות. בהתאם למצב החיבור, למכונה הוירטואלית שלך יהיו דרגות שונות של יכולות רשת. למרות שכתובת IP פתוחה לכל החיבורים עשויה להיראות נוחה ושימושית, הסיכון שחיבור פתוח לחלוטין יוצר אינו שווה את הנוחות. חוץ מזה, הגדרת מצב הרשת הנכון היא קלה וניתן לעשותה תוך מספר שניות.
הדבר החשוב הוא שאתה צריך להבין איזה מצב רשת מתאים יותר לצרכים שלך. כדי להקל עליך להבין, הנה טבלה על מה כל מצב רשת ספציפי מספק גישה אליו:
מצב רשת |
גישה למכשירי VM אחרים |
גישה לארח |
גישה למכונות פיזיות |
גישה לאינטרנט |
|---|---|---|---|---|
NAT |
לא |
כן (בכיוון אחד) |
לא |
כן |
מגשר |
כן |
כן |
כן |
כן |
מארח בלבד |
כן |
כן |
לא |
לא |
NAT לעומת מצב מגשר לעומת מארח בלבד: באיזה מצב רשת להשתמש?
ישנם יישומים מעשיים רבים לשימוש במכונה וירטואלית. רבים מהיישומים הללו הם בדרך כלל בצורה של שירותי בדיקות, חינוך, פיתוח ואירוח.
בהתבסס על הטבלה, NAT מוגבל להתחבר ל-VMs אחרים ולמכונות ברשת הפיזית. מחשבי VM המוגדרים לשימוש ב-NAT אינם נראים למכונות פיזיות ומחשבי וירטואליים אחרים המתארחים על ידי המחשב המארח. ומכיוון ש-VM בתצורת NAT לא ניתן לראות על ידי מכונות אחרות, הסיכון להתקפות אפשריות של סריקת יציאות מתבטל.
זה הופך את NAT לחיבור רשת מתאים לבדיקת פרויקטים שבהם ה-VM צריך להיות מבודד אבל צריך גם גישה לאינטרנט. יתר על כן, NAT יכול לשמש גם מפעלים המשתמשים ב-VM כלקוחות לגלישה באינטרנט ולביצוע משימות חברה שונות.
מצד שני, תצורת רשת גשר מאפשרת חיבור למכשירי VM מוגדרים באופן דומה, למחשב המארח, למכונות פיזיות בשרת ולאינטרנט. מצב זה מעניק קישוריות מלאה לרשת על חשבון אבטחה מינימלית. לדוגמה, רשת מגושרת נחוצה אם מכונה וירטואלית מארחת שרת אינטרנט, שרת קבצים או שרת דואר.
בניגוד לרשת המגושרת, רשת מארח בלבד מעניקה את אבטחת הרשת הטובה ביותר על חשבון קישוריות נמוכה. רשת מגושרת מאפשרת חיבור רק למארח ולמכשירי VM אחרים. למרות מבודד מאוד, מארח בלבד חיבור משמש בצורה הטובה ביותר בעת הגדרת רשת וירטואלית פרטית לבדיקה ולמידה אודותיה אבטחת סייבר.
אתה יכול לערבב ולהתאים בין מצבי רשת של מכונות וירטואליות שונות
שירותי בדיקה, פיתוח ואירוח הם תחומים די רחבים של שימוש ב-VMs. עם זאת, עבור משימות מיוחדות יותר, אתה עלול להיתקל במצבים שבהם מצבי רשת NAT, גשר או מארח בלבד אינם מתאימים לסוג החיבור שאתה צריך.
כדי להתאים אישית את מצב הרשת שלך, אתה יכול לערבב ולהתאים מצבי חיבור. זה אפשרי מכיוון ש-Hypervisors לרוב נותנים ל-VM ארבעה עד שמונה מתאמי רשת. אז אתה יכול להשתמש במספר מצבי רשת בעת הצורך. לדוגמה, אתה צריך רשת שיש לה חיבור לאינטרנט ו-VM-to-VM תוך שהיא בלתי נראית לרשת הפיזית. היית משלב מצבי NAT ורשת מארח בלבד כדי ליצור חיבור כזה.
וזה בעצם כל מה שאתה צריך לדעת על מצבי רשת VM. אני מקווה שכעת תוכל להשתמש ולהתאים אישית את רשתות ה-VM שלך.
