1. 隔离模式(类似vmare中仅主机模式):虚拟机之间组建网络,该模式无法与宿主机通信,无法与其他网络通信,相当于虚拟机只是连接到一台交换机上,所有的虚拟机能够相互通信。
2. 路由模式:相当于虚拟机连接到一台路由器上,由路由器(物理网卡),统一转发,但是不会改变源地址。
3. NAT模式(类似vmare中的NAT模式):在路由模式中,会出现虚拟机可以访问其他主机,但是其他主机的报文无法到达虚拟机,而NAT模式则将源地址转换为路由器(物理网卡)地址,这样其他主机也知道报文来自那个主机,在docker环境中经常被使用。
4. 桥接模式(类似vmare中的bridge桥接模式):在宿主机中创建一张虚拟网卡作为宿主机的网卡,而物理网卡则作为交换机。
一. 隔离模式:
Guest1 和 Guest2 均是虚拟机
Linux在虚拟机中的网卡都包含"前半段"和"后半段"(实际上是一对设备),前半段在虚拟机上,后半段在宿主机上。上图eth0在Guest1虚拟机上的网卡,对应的后半段为vnet0,在Guest1上所有发往eth0的数据就直接发往vnet0了,也可以将vnet0看作一张网卡
Guest1和Guest2如何通信:
在宿主机中创建一个虚拟交换机(即网桥,也称软桥),让vnet0和vnet1分别为虚拟交换机(网桥)的一个接口,交换机也可以叫做bridge,只要两个虚拟网卡的前半段ip(eth0)地址在同一个网段内(两个虚拟机后半段的两个虚拟网卡vnet0和vnet1均绑定在同一个网桥上),就可以相互通信,这就是隔离模式。
1.1 使用qemu-kvm创建隔离模式网络的虚拟机
虚拟机启动时,网卡的后半段不会自动添加到虚拟网桥,需要一个脚本来实现,首先编写脚本
添加网卡脚本:
cat >>/etc/qemu-ifup<<end
#!/bin/bash
BRIDGE=br0
if [ -n $1 ]; then
ip link set $1 up
sleep 1
brctl addif $BRIDGE $1
[ $? -eq 0 ] && exit 0 || exit 1
else
echo "Error: no interface specified."
exit 1
fi
sh -n /etc/qemu-ifup # 检测有无语法错误
chmod +x /etc/qemu-ifup # 给与执行权限
当虚拟机停止时,网卡会自动从网桥中down掉,所以不用编写停止网卡脚本
执行如下指令启动虚拟机:
qemu-kvm -smp 1 -m 512 -cpu host
-drive file=/images/centos7.img,if=virtio,media=disk,cache=writeback
-net nic,model=virtio,macaddr=52:54:00:11:22:33
-net tap,ifname=vnet0.0,script=/etc/qemu-ifup
-daemonize
参数说明:
-smp: 虚拟机cpu线程数
-cpu: cpu的类型;host为虚拟机使用物理机cpu类型
-drive: 驱动设备
file: 驱动设备目录
if: 驱动设备类型,virtio为半虚拟化类型,性能较好
media:驱动设备是disk还是cdrom
cache:设备缓存,writeback为回写
-net
nic:虚拟机网卡前半段,这是在虚拟机中使用的网卡
macaddr:设置虚拟机网卡mac地址,在使用qemu-kvm创建虚拟机时,需要手动指定mac地址,否则会出现相同的mac地址虚拟机
model:网卡类型,virtio为半虚拟化类型,性能较好
tap:为虚拟网卡后半段,需要连接到网桥上
ifname:宿主机系统中网卡名称(随意指定),比如:vnet0.0
script:指定启动时,需要执行的脚本,该脚本是将虚拟机的后半段网卡添加到网桥中
启动第二台虚拟机
qemu-kvm -smp 1 -m 512 -cpu host
-drive file=/images/centos7-1.img,if=virtio,media=disk,cache=writeback
-net nic,model=virtio,macaddr=52:54:00:11:22:34
-net tap,ifname=vnet0.1,script=/etc/qemu-ifup
-daemonize
两个虚拟机启动后,分别登录,互ping一次
然后在从宿主机分别ping两台虚拟机一次
二、 路由模型及NAT模型
NAT模式
该模式网桥要作为路由器对虚拟机地址进行转发。
路由模式是无法修改源地址ip,因此虚拟机可能会成功的将报文发送给目标地址ip,而目标地址ip无法将报文回传给源地址ip;
NAT模式则是将源地址ip改为物理网卡ip发送给目标地址,目标地址ip回传给物理网卡,在将报文发送至虚拟主机。
yum install iptables-services -y # 安装需要的程序包,使用iptables规则对报文进行转发。
编写虚拟机开启执行脚本:
cat >> /etc/qemu-natup<<end
#!/bin/bash
#
bridge=br0
net="192.168.100.1/24"
checkbr() {
if brctl show | grep -i $1; then
return 0
else
return 1
fi
}
initbr() {
brctl addbr $bridge
ip link set $bridge up
ip addr add $net dev $bridge
}
enable_ip_forward() {
sysctl -w net.ipv4.ip_forward=1
}
setup_nat() {
checkbr $bridge
if [ $? -eq 1 ]; then
initbr
enable_ip_forward
iptables -t nat -A POSTROUTING -s $net ! -d $net -j MASQUERADE
fi
}
if [ -n $1 ]; then
setup_nat
ip link set $1 up
brctl addif $bridge $1
exit 0
else
echo "Error: no interface specified."
exit 1
fi
end
编写虚拟机关闭执行脚本:
cat >>/etc/qemu-natdown <<end
#!/bin/bash
#
bridge=br0
net='192.168.100.0/24'
remove_rule() {
iptables -t nat -F
}
isalone_bridge() {
if ! brctl show | awk "/^$bridge/{print $4}" | grep "[^[:space:]]" &> /dev/null; then
ip link set $bridge down
brctl delbr $bridge
remove_rule
fi
}
if [ -n $1 ]; then
ip link set $1 down
brctl delif $bridge $1
isalone_bridge
exit 0
else
echo "Error: no interface specified."
exit 1
fi
end
chmod +x /etc/{qemu-natup,qemu-natdown}
ll /etc/{qemu-natup,qemu-natdown}
上述2个脚本对于nat模式的网络很重要
创建虚拟机:
qemu-kvm -smp 1 -m 512 -cpu host
-drive file=/images/centos7.img,if=virtio,media=disk,cache=writeback
-net nic,model=virtio,macaddr=52:54:00:11:22:33
-net tap,ifname=vnet0.0,script=/etc/qemu-natup,downscript=/etc/qemu-natdown
-daemonize
qemu-kvm -smp 1 -m 512 -cpu host
-drive file=/images/centos7-1.img,if=virtio,media=disk,cache=writeback
-net nic,model=virtio,macaddr=52:54:00:11:22:34
-net tap,ifname=vnet0.1,script=/etc/qemu-natup,downscript=/etc/qemu-natdown
-daemonize
查看两台虚拟机的后半段网卡(vnetX)是否都连接在桥br0上,在通过POSTROUTING链进行源地址转换
brctl show
ip a
iptables -nL -t nat
分别给两台虚拟机配置ip地址,命令如下:
ip addr add 192.168.100.20/24 dev eth0 ip addr add 192.168.100.30/24 dev eth0
两台虚拟机之间实现互通了,配置默认路由为br0地址,实现公网的访问
路由配置如下:
ip route add default via 192.168.100.1
三、桥接模式
在该模式下,宿主机会虚拟出来一张虚拟网卡作为宿主机本身的通信网卡(br0),而宿主机的物理网卡则成为桥设备(交换机)(eth0),所以虚拟机相当于在宿主机所在局域网内的一个单独的主机,他的行为和宿主机是同等地位的,没有依存关系。
使用qemu-kvm创建桥接模式
为宿主机创建虚拟网卡,并将物理网卡作为桥设备
cd /etc/sysconfig/network-scripts/ cp -a ifcfg-eno16777736 ifcfg-br0
cat >>ifcfg-eno16777736<<end
TYPE=Ethernet
BOOTPROTO=none
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
NAME=eno16777736
UUID=9f0bf158-e598-4309-8c0c-7609174ff212
DEVICE=eno16777736
ONBOOT=yes
BRIDGE=br0
end
cat >>ifcfg-br0 <<end TYPE=Bridge BOOTPROTO=none DEFROUTE=yes PEERDNS=yes PEERROUTES=yes IPV4_FAILURE_FATAL=no IPV6INIT=no NAME=br0 DEVICE=br0 ONBOOT=yes IPADDR=10.0.0.11 NETMASK=255.255.255.0 GATEWAY=10.0.0.1 DNS1=10.0.0.1 DNS2=114.114.114.114
end
systemctl restart network ip a
brctl show
物理网卡eno16777736 将作为交换机使用,没有ip地址
编写虚拟机启动脚本,该脚本和隔离模式脚本一致:
cat >> /etc/qemu-ifup<<end
#!/bin/bash
#
BRIDGE=br0
if [ -n $1 ]; then
ip link set $1 up
sleep 1
brctl addif $BRIDGE $1
[ $? -eq 0 ] && exit 0 || exit 1
else
echo "Error: no interface specified."
exit 1
fi
end
启动虚拟机:
qemu-kvm -smp 1 -m 512 -cpu host
-drive file=/images/centos7-1.img,if=virtio,media=disk,cache=writeback
-net nic,model=virtio,macaddr=52:54:00:11:22:34
-net tap,ifname=vnet0.1,script=/etc/qemu-ifup
-daemonize