Sự khác biệt giữa các chế độ mạng NAT, Bridge và Host-Only là gì?
Hypervisors là công cụ được sử dụng để tạo máy ảo (VM) để lưu trữ dịch vụ, thử nghiệm và phát triển phần mềm trong một môi trường an toàn. Thật không may, mức độ bảo mật này chỉ có thể thực hiện được bằng cách hộp cát hoàn toàn máy ảo khỏi thế giới thực, đây là một vấn đề nếu dự án cần bất kỳ kết nối mạng nào.
Vì lý do này, các trình ảo hóa cung cấp các chế độ kết nối mạng khác nhau để cung cấp khả năng kết nối mạng cho máy ảo trong khi vẫn duy trì một số mức độ bảo mật. Các chế độ mạng này bao gồm các mạng NAT, bắc cầu và chỉ lưu trữ.
Vì vậy, chính xác thì các chế độ mạng NAT, bắc cầu và chỉ lưu trữ là gì? Chúng hoạt động như thế nào và bạn nên sử dụng cái nào?
Mục Lục
NAT là gì?
Dịch địa chỉ mạng (NAT) là chế độ kết nối mạng trong đó các máy chủ dịch địa chỉ IP của máy ảo sang bộ định tuyến để máy ảo có thể kết nối với internet.
Về cơ bản, khi kết nối với internet, địa chỉ IP của VM sẽ bị che bởi địa chỉ IP của Máy chủ. Chế độ này không cho phép kết nối giữa các máy ảo cũng như không cho phép máy ảo giao tiếp với các máy vật lý khác ngoại trừ máy chủ.
VM được cung cấp địa chỉ IP thông qua máy chủ DHCP ảo được liên kết với modem mạng của máy chủ vật lý, chứ không phải máy chủ DHCP từ bộ định tuyến vật lý. Máy chủ DHCP ảo được tạo tự động bất cứ khi nào máy ảo được tạo. Điều này có nghĩa là địa chỉ IP của một máy ảo sử dụng bộ điều hợp NAT có thể có cùng địa chỉ IP với một máy ảo khác mà không gây ra bất kỳ sự cố nào. Tuy nhiên, điều này cũng có nghĩa là mỗi VM được lưu trữ bởi máy chủ vật lý không thể tương tác với nhau vì chúng có chung một IP.
Trong trường hợp các máy ảo yêu cầu NAT hoạt động và kết nối mạng với nhau, một số trình ảo hóa như VirtualBox cung cấp các tùy chọn cho chế độ “mạng NAT”.
Mạng chỉ lưu trữ là gì?
Mạng chỉ lưu trữ cung cấp mức bảo mật mạng cao nhất để đổi lấy khả năng kết nối mạng rất hạn chế. Ví dụ: mạng chỉ dành cho máy chủ lưu trữ cho phép tất cả máy ảo và máy chủ kết nối mạng với nhau trong khi bị cắt khỏi mạng vật lý. Và vì máy chủ không dịch địa chỉ cho máy ảo nên bộ định tuyến không thể cung cấp cho chúng quyền truy cập internet.
Mạng chỉ dành cho máy chủ lưu trữ sử dụng máy chủ DHCP ảo từ máy chủ để cung cấp địa chỉ IP duy nhất cho mỗi máy ảo. Địa chỉ MAC được đặt tự động nhưng bạn có thể thay đổi địa chỉ MAC và địa chỉ IP nếu muốn.
Mạng cầu nối là gì?
Một mạng bắc cầu là dễ dàng nhất trong tất cả các loại kết nối mạng.
Nó cho phép một máy ảo kết nối mạng với các máy ảo khác và tất cả các máy vật lý trên mạng vật lý. Mặc dù mạng cầu nối cung cấp cho máy ảo tất cả các chức năng mạng, nhưng nó cũng làm giảm đáng kể tính bảo mật vì máy ảo cũng dễ bị tổn thương mạng, tương tự như mạng vật lý mở.
Bộ điều hợp cầu nối cung cấp cho mỗi VM một địa chỉ IP duy nhất trong mạng con mạng vật lý. Máy ảo nhận địa chỉ IP của chúng không phải từ máy chủ DHCP ảo mà từ bộ định tuyến vật lý trong mạng của bạn. Để sử dụng mạng cầu nối, người dùng phải chọn thủ công chế độ bộ điều hợp cầu nối trên trình ảo hóa và đặt địa chỉ MAC duy nhất cho từng máy ảo.
So sánh các mạng NAT, Bridged và Host-only
Các mạng NAT, bắc cầu và chỉ lưu trữ là ba trong số các chế độ mạng phổ biến nhất mà các máy ảo sử dụng để kết nối. Tùy thuộc vào chế độ kết nối, máy ảo của bạn sẽ có các mức độ khả năng kết nối mạng khác nhau. Mặc dù việc mở một IP cho tất cả các kết nối có vẻ thuận tiện và hữu ích, nhưng rủi ro mà một kết nối mở hoàn toàn tạo ra không đáng để thuận tiện. Bên cạnh đó, việc cài đặt đúng chế độ mạng rất dễ dàng và có thể được thực hiện trong vài giây.
Điều quan trọng là bạn cần hiểu chế độ mạng nào phù hợp hơn với nhu cầu của mình. Để giúp bạn hiểu đơn giản hơn, đây là bảng về những gì mỗi chế độ mạng cụ thể cung cấp quyền truy cập vào:
|
Chế độ mạng |
Truy cập vào các máy ảo khác |
Truy cập vào máy chủ |
Truy cập vào máy vật lý |
Truy cập Internet |
|---|---|---|---|---|
|
NAT |
Không |
Có (Một chiều) |
Không |
Đúng |
|
bắc cầu |
Đúng |
Đúng |
Đúng |
Đúng |
|
Chỉ lưu trữ |
Đúng |
Đúng |
Không |
Không |
NAT so với Chế độ cầu nối so với Chỉ lưu trữ trên máy chủ: Nên sử dụng Chế độ mạng nào?
Có nhiều ứng dụng thực tế cho việc sử dụng máy ảo. Nhiều ứng dụng trong số này thường ở dạng thử nghiệm, giáo dục, phát triển và dịch vụ lưu trữ.
Dựa trên bảng, NAT bị hạn chế kết nối với các máy ảo khác và các máy trên mạng vật lý. Các máy ảo được định cấu hình để sử dụng NAT sẽ ẩn đối với các máy vật lý và các máy ảo khác do máy chủ lưu trữ. Và vì các máy khác không thể nhìn thấy máy ảo trong cấu hình NAT, nên nguy cơ tấn công quét cổng có thể xảy ra sẽ bị loại bỏ.
Điều này làm cho NAT trở thành một kết nối mạng phù hợp để thử nghiệm các dự án trong đó VM cần được cách ly nhưng cũng cần truy cập internet. Hơn nữa, NAT cũng có thể được sử dụng bởi các cơ sở sử dụng máy ảo làm ứng dụng khách để duyệt internet và thực hiện các tác vụ khác nhau của công ty.
Mặt khác, cấu hình mạng cầu nối cho phép kết nối với các máy ảo được thiết lập tương tự, máy chủ, máy vật lý trên máy chủ và internet. Chế độ này cấp kết nối mạng đầy đủ với chi phí có ít bảo mật nhất. Ví dụ: mạng cầu nối là cần thiết nếu máy ảo lưu trữ máy chủ web, máy chủ tệp hoặc máy chủ thư.
Ngược lại với mạng cầu nối, mạng chỉ dành cho máy chủ cung cấp khả năng bảo mật mạng tốt nhất với chi phí kết nối thấp. Mạng bắc cầu chỉ cho phép kết nối với máy chủ và các máy ảo khác. Mặc dù rất biệt lập, kết nối chỉ dành cho máy chủ được sử dụng tốt nhất khi thiết lập mạng ảo riêng để thử nghiệm và tìm hiểu về an ninh mạng.
Bạn có thể kết hợp và kết hợp các chế độ mạng máy ảo khác nhau
Các dịch vụ thử nghiệm, phát triển và lưu trữ là những lĩnh vực sử dụng máy ảo khá rộng. Tuy nhiên, đối với các tác vụ chuyên biệt hơn, bạn có thể gặp các tình huống trong đó các chế độ mạng NAT, cầu nối hoặc chỉ lưu trữ trên máy chủ không phù hợp với loại kết nối bạn cần.
Để điều chỉnh phù hợp với chế độ mạng của bạn, bạn có thể kết hợp và kết hợp các chế độ kết nối. Điều này có thể thực hiện được vì các trình ảo hóa thường cung cấp cho VM từ 4 đến 8 bộ điều hợp mạng. Vì vậy, bạn có thể sử dụng nhiều chế độ mạng khi cần thiết. Ví dụ: bạn cần một mạng có kết nối internet và VM-to-VM trong khi ẩn với mạng vật lý. Bạn sẽ kết hợp NAT và các chế độ mạng chỉ lưu trữ để tạo kết nối như vậy.
Và về cơ bản, đó là tất cả những gì bạn cần biết về các chế độ kết nối mạng VM. Hy vọng rằng bây giờ bạn có thể sử dụng và tùy chỉnh các mạng máy ảo của mình.