Hypervisoren sind Tools zum Erstellen virtueller Maschinen (VMs) zum Hosten von Diensten, Testen und Softwareentwicklung in einer sicheren Umgebung. Leider ist dieses Sicherheitsniveau nur möglich, indem die virtuelle Maschine vollständig von der physischen Welt per Sandboxing getrennt wird, was ein Problem darstellt, wenn das Projekt ein Netzwerk benötigt.
Aus diesem Grund bieten Hypervisoren verschiedene Netzwerkmodi, um einer VM Netzwerkfunktionen bereitzustellen und gleichzeitig ein gewisses Maß an Sicherheit aufrechtzuerhalten. Diese Netzwerkmodi umfassen NAT-, Bridged- und Host-Only-Netzwerke.
Was genau sind NAT-, Bridged- und Host-Only-Netzwerkmodi? Wie funktionieren sie und welche sollten Sie verwenden?
Was ist NAT?
Network Address Translation (NAT) ist ein Netzwerkmodus, bei dem die Hosts die IP-Adresse der VM an den Router übersetzen, damit die VM eine Verbindung zum Internet herstellen kann.
Grundsätzlich wird bei der Verbindung mit dem Internet die IP-Adresse der VM durch die IP-Adresse des Hosts maskiert. Dieser Modus ermöglicht weder die Verbindung zwischen VMs noch die Kommunikation einer VM mit anderen physischen Maschinen außer dem Host.
Die VM erhält eine IP Adresse über einen virtuellen DHCP-Server, der mit dem verknüpft ist Netzwerkmodem des physischen Hosts, nicht der DHCP-Server des physischen Routers. Ein virtueller DHCP-Server wird automatisch erstellt, wenn eine virtuelle Maschine erstellt wird. Das bedeutet, dass die IP-Adresse einer VM, die einen NAT-Adapter verwendet, ohne Probleme die gleiche IP-Adresse wie eine andere VM haben kann. Dies bedeutet jedoch auch, dass alle VMs, die von der physischen Hostmaschine gehostet werden, nicht miteinander interagieren können, da sie dieselbe IP teilen.
In Fällen, in denen VMs ein funktionierendes NAT und eine Netzwerkverbindung untereinander benötigen, bieten einige Hypervisoren wie VirtualBox Optionen für den Modus „NAT-Netzwerk“.
Was ist ein Host-Only-Netzwerk?
Ein Host-Only-Netzwerk bietet das höchste Maß an Netzwerksicherheit im Austausch für sehr begrenzte Netzwerkfähigkeiten. Beispielsweise ermöglicht ein Host-Only-Netzwerk allen VMs und dem Host-Computer, sich miteinander zu vernetzen, während es vom physischen Netzwerk getrennt ist. Und da der Host-Rechner die Adresse für die VMs nicht übersetzt, kann der Router ihnen keinen Internetzugang bereitstellen.
Ein Host-Only-Netzwerk verwendet einen virtuellen DHCP-Server vom Hostcomputer, um jeder VM eine eindeutige IP-Adresse zuzuweisen. MAC-Adressen werden automatisch festgelegt, aber Sie können die MAC-Adresse und die IP-Adresse ändern, wenn Sie möchten.
Was ist ein Bridged-Netzwerk?
Ein überbrücktes Netzwerk ist die toleranteste aller Netzwerkverbindungstypen.
Es ermöglicht einer VM, sich mit anderen VMs und allen physischen Maschinen im physischen Netzwerk zu vernetzen. Obwohl ein überbrücktes Netzwerk VMs mit allen Netzwerkfunktionen versorgt, ist es auch erheblich verringert die Sicherheit, da die VMs auch anfällig für Netzwerkschwachstellen sind, ähnlich wie bei einem offenen physisches Netzwerk.
Ein Bridge-Adapter stellt jeder VM eine eindeutige IP-Adresse innerhalb des Subnetzes des physischen Netzwerks bereit. VMs erhalten ihre IP-Adresse nicht von einem virtuellen DHCP-Server, sondern vom physischen Router in Ihrem Netzwerk. Um ein Bridged-Netzwerk zu verwenden, muss ein Benutzer den Bridged-Adaptermodus auf dem Hypervisor manuell auswählen und eindeutige MAC-Adressen für jede VM festlegen.
Vergleich von NAT-, Bridged- und Host-Only-Netzwerken
NAT-, Bridged- und Host-Only-Netzwerke sind drei der häufigsten Netzwerkmodi, die virtuelle Maschinen für die Konnektivität verwenden. Je nach Verbindungsmodus verfügt Ihre virtuelle Maschine über unterschiedliche Grade an Netzwerkfähigkeiten. Obwohl eine für alle Verbindungen offene IP praktisch und nützlich erscheinen mag, ist das Risiko, das eine vollständig offene Verbindung mit sich bringt, den Komfort nicht wert. Außerdem ist die Einstellung des richtigen Netzwerkmodus einfach und in wenigen Sekunden erledigt.
Wichtig ist, dass Sie verstehen müssen, welcher Netzwerkmodus Ihren Anforderungen besser entspricht. Um Ihnen das Verständnis zu erleichtern, finden Sie hier eine Tabelle, auf die jeder spezifische Netzwerkmodus Zugriff bietet:
Netzwerkmodus |
Zugriff auf andere VMs |
Zugriff auf Host |
Zugriff auf physische Maschinen |
Internet Zugang |
|---|---|---|---|---|
NAT |
NEIN |
Ja (einfache Fahrt) |
NEIN |
Ja |
Überbrückt |
Ja |
Ja |
Ja |
Ja |
Nur Host |
Ja |
Ja |
NEIN |
NEIN |
NAT vs. Bridged-Modus vs. Nur Host: Welcher Netzwerkmodus soll verwendet werden?
Es gibt viele praktische Anwendungen für die Verwendung einer virtuellen Maschine. Viele dieser Anwendungen werden normalerweise in Form von Test-, Schulungs-, Entwicklungs- und Hosting-Diensten angeboten.
Basierend auf der Tabelle ist NAT daran gehindert, sich mit anderen VMs und den Computern im physischen Netzwerk zu verbinden. VMs, die für die Verwendung von NAT konfiguriert sind, sind für physische Computer und andere VMs, die vom Hostcomputer gehostet werden, unsichtbar. Und da eine VM in einer NAT-Konfiguration von anderen Maschinen nicht gesehen werden kann, wird das Risiko möglicher Port-Scanning-Angriffe eliminiert.
Dies macht NAT zu einer geeigneten Netzwerkverbindung für Testprojekte, bei denen die VM isoliert werden muss, aber auch einen Internetzugang benötigt. Darüber hinaus kann NAT auch von Einrichtungen verwendet werden, die VMs als Clients verwenden, um im Internet zu surfen und verschiedene Unternehmensaufgaben zu erledigen.
Andererseits ermöglicht eine Bridge-Netzwerkkonfiguration die Verbindung zu ähnlich eingerichteten VMs, dem Hostcomputer, physischen Computern auf dem Server und dem Internet. Dieser Modus gewährt volle Netzwerkkonnektivität auf Kosten der geringsten Sicherheit. Beispielsweise ist ein überbrücktes Netzwerk erforderlich, wenn eine virtuelle Maschine einen Webserver, Dateiserver oder Mailserver hostet.
Im Gegensatz zum überbrückten Netzwerk gewährt ein Host-Only-Netzwerk die beste Netzwerksicherheit auf Kosten geringer Konnektivität. Ein überbrücktes Netzwerk ermöglicht nur die Verbindung zum Host und anderen VMs. Obwohl sehr isoliert, ein Host-only Verbindung wird am besten verwendet, wenn Sie ein privates virtuelles Netzwerk zum Testen und Lernen einrichten Internet-Sicherheit.
Sie können verschiedene Netzwerkmodi für virtuelle Maschinen mischen und anpassen
Test-, Entwicklungs- und Hosting-Services sind ziemlich breite Bereiche der VM-Nutzung. Bei spezialisierteren Aufgaben können jedoch Situationen auftreten, in denen NAT-, Bridge- oder Host-Only-Netzwerkmodi nicht zu dem von Ihnen benötigten Verbindungstyp passen.
Um Ihren Netzwerkmodus anzupassen, können Sie die Verbindungsmodi mischen und anpassen. Dies ist möglich, da Hypervisoren VMs oft mit vier bis acht Netzwerkadaptern ausstatten. So können Sie bei Bedarf mehrere Netzwerkmodi verwenden. Beispielsweise benötigen Sie ein Netzwerk, das über eine Internet- und VM-zu-VM-Verbindung verfügt und gleichzeitig für das physische Netzwerk unsichtbar ist. Sie würden NAT- und Host-Only-Netzwerkmodi kombinieren, um eine solche Verbindung herzustellen.
Und das ist im Grunde alles, was Sie über VM-Netzwerkmodi wissen müssen. Hoffentlich können Sie jetzt Ihre VM-Netzwerke verwenden und anpassen.
