Les hyperviseurs sont des outils utilisés pour créer des machines virtuelles (VM) pour les services d’hébergement, les tests et le développement de logiciels dans un environnement sécurisé. Malheureusement, ce niveau de sécurité n’est possible qu’en isolant complètement la machine virtuelle du monde physique, ce qui pose un problème si le projet nécessite une mise en réseau.
Pour cette raison, les hyperviseurs offrent divers modes de mise en réseau pour fournir des capacités de mise en réseau à une VM tout en maintenant un certain niveau de sécurité. Ces modes de mise en réseau comprennent les réseaux NAT, les réseaux pontés et les réseaux réservés aux hôtes.
Alors, que sont exactement les modes de mise en réseau NAT, ponté et hôte seul ? Comment fonctionnent-ils, et lesquels devez-vous utiliser ?
Qu’est-ce que le NAT ?
La traduction d’adresse réseau (NAT) est un mode de mise en réseau dans lequel les hôtes traduisent l’adresse IP de la VM au routeur pour que la VM puisse se connecter à l’Internet.
En fait, lors de la connexion à l’Internet, l’adresse IP de la machine virtuelle est masquée par l’adresse IP de l’hôte. Ce mode ne permet pas l’interconnexion entre les machines virtuelles, ni la communication d’une machine virtuelle avec d’autres machines physiques, à l’exception de l’hôte.
La machine virtuelle reçoit une adresse IP par le biais d’un serveur DHCP virtuel lié au modem réseau de l’hôte physique, et non par le serveur DHCP du routeur physique. Un serveur DHCP virtuel est automatiquement créé chaque fois qu’une machine virtuelle est créée. Cela signifie que l’adresse IP d’une VM utilisant un adaptateur NAT peut avoir la même adresse IP qu’une autre VM sans poser de problème. Cependant, cela signifie également que chaque VM hébergée par la machine hôte physique ne peut pas interagir entre elles car elles partagent la même IP.
Dans les cas où les VMs ont besoin d’un NAT fonctionnel et d’une connexion réseau entre elles, certains hyperviseurs tels que VirtualBox fournissent des options pour le mode « réseau NAT ».
Qu’est-ce qu’un réseau d’hôte seulement ?
Un réseau uniquement hôte offre le plus haut niveau de sécurité réseau en échange de capacités réseau très limitées. Par exemple, un réseau uniquement hôte permet à toutes les machines virtuelles et à la machine hôte de se mettre en réseau les unes avec les autres tout en étant coupées du réseau physique. Et comme la machine hôte ne traduit pas l’adresse des machines virtuelles, le routeur ne peut leur fournir aucun accès à Internet.
Un réseau uniquement hôte utilise un serveur DHCP virtuel de la machine hôte pour donner une adresse IP unique à chaque VM. Les adresses MAC sont automatiquement définies, mais vous pouvez modifier l’adresse MAC et l’adresse IP si vous le souhaitez.
Qu’est-ce qu’un réseau ponté ?
Un réseau ponté est le plus permissif de tous les types de connexion réseau.
Il permet à une machine virtuelle de se connecter à d’autres machines virtuelles et à toutes les machines physiques sur le réseau physique. Bien qu’un réseau ponté fournisse aux machines virtuelles toutes les fonctionnalités de mise en réseau, il diminue aussi considérablement sa sécurité, car les machines virtuelles sont également sensibles aux vulnérabilités de mise en réseau, comme dans le cas d’un réseau physique ouvert.
Un adaptateur de pont fournit à chaque VM une adresse IP unique au sein du sous-réseau du réseau physique. Les VM obtiennent leur adresse IP non pas d’un serveur DHCP virtuel mais du routeur physique de votre réseau. Pour utiliser un réseau ponté, un utilisateur doit sélectionner manuellement le mode adaptateur ponté sur l’hyperviseur et définir des adresses MAC uniques pour chaque VM.
Comparaison des réseaux NAT, pontés et d’hôtes seulement
Les réseaux NAT, pontés et hôte uniquement sont trois des modes de mise en réseau les plus courants que les machines virtuelles utilisent pour la connectivité. En fonction du mode de connexion, votre machine virtuelle aura différents degrés de capacités de mise en réseau. Bien qu’avoir une IP ouverte à toutes les connexions puisse sembler pratique et utile, le risque qu’une connexion entièrement ouverte crée ne vaut pas la commodité. En outre, la définition du mode de réseau correct est facile et peut être effectuée en quelques secondes.
L’important est que vous compreniez quel mode réseau correspond le mieux à vos besoins. Pour vous simplifier la tâche, voici un tableau indiquant à quoi chaque mode réseau spécifique donne accès :
Mode réseau | Accès aux autres VMs | Accès à l’hôte | Accès aux machines physiques | Accès à l’Internet |
|---|---|---|---|---|
NAT | Non | Oui (aller simple) | Non | Oui |
Bridged | Oui | Oui | Oui | Oui |
Réservé à l’hôte | Oui | Oui | Non | Non |
NAT vs. mode ponté vs. hôte seulement : Quel mode réseau utiliser ?
Il existe de nombreuses applications pratiques pour l’utilisation d’une machine virtuelle. Beaucoup de ces applications sont généralement sous la forme de services de test, d’éducation, de développement et d’hébergement.
D’après le tableau, le NAT ne permet pas de se connecter aux autres VM et aux machines du réseau physique. Les VM configurées pour utiliser NAT sont invisibles aux machines physiques et aux autres VM hébergées par la machine hôte. Et comme une VM dans une configuration NAT ne peut pas être vue par les autres machines, le risque d’éventuelles attaques par balayage de port est éliminé.
Cela fait du NAT une connexion réseau appropriée pour les projets de test où la VM doit être isolée mais a également besoin d’un accès à Internet. En outre, le NAT peut également être utilisé par les établissements utilisant des VM comme clients pour naviguer sur Internet et effectuer diverses tâches d’entreprise.
D’autre part, une configuration réseau en pont permet la connexion à des VMs de même configuration, à la machine hôte, aux machines physiques sur le serveur et à l’Internet. Ce mode garantit une connectivité réseau complète au prix d’une sécurité minimale. Par exemple, un réseau ponté est nécessaire si une machine virtuelle héberge un serveur Web, un serveur de fichiers ou un serveur de messagerie.
Contrairement au réseau ponté, un réseau d’hôte seulement offre la meilleure sécurité de réseau au prix d’une faible connectivité. Un réseau ponté ne permet que la connexion à l’hôte et aux autres VM. Bien qu’elle soit très isolée, la connexion à l’hôte uniquement est utilisée de préférence lors de la mise en place d’un réseau virtuel privé pour les tests et l’apprentissage de la cybersécurité.
Vous pouvez combiner différents modes de mise en réseau de machines virtuelles
Les tests, le développement et les services d’hébergement sont des domaines assez larges d’utilisation des machines virtuelles. Cependant, pour des tâches plus spécialisées, vous pouvez rencontrer des situations où les modes réseau NAT, pont ou hôte seul ne correspondent pas au type de connexion dont vous avez besoin.
Pour adapter votre mode réseau, vous pouvez mélanger les modes de connexion. Ceci est possible car les hyperviseurs donnent souvent aux VMs quatre à huit adaptateurs réseau. Vous pouvez donc utiliser plusieurs modes de réseau si nécessaire. Par exemple, vous avez besoin d’un réseau qui dispose d’une connexion Internet et d’une connexion entre VM et VM tout en étant invisible pour le réseau physique. Pour créer une telle connexion, vous pouvez combiner les modes réseau NAT et hôte uniquement.
C’est en gros tout ce que vous devez savoir sur les modes de mise en réseau des VM. Nous espérons que vous pouvez maintenant utiliser et personnaliser vos réseaux VM.
