Différences

Ci-dessous, les différences entre deux révisions de la page.

--- software:applications:virsh:gerer_les_reseaux [2024/07/05 08:48] – yoann
+++ software:applications:virsh:gerer_les_reseaux [2025/11/02 09:57] (Version actuelle) – yoann
@@ Ligne 16: / Ligne 16: @@
 </code>
-===== Créer un réseau de type pont =====
+===== A propos des types de réseaux =====
-Comme pour les domaines (VMs) on peut exporter une configuration existante en XML et y apporter les modifications nécessaires à notre nouvelle définition :
+:TODO_DOCUPDATE:
+Lors de la création d'un réseau virtuel avec **virt-manager**, on a le choix entre plusieurs modes de connexion :
+  * Le mode **NAT**((**N**etwork **A**ddress **T**ranslation)) permet aux VMs de se connecter à Internet au travers de l’hôte tout en maintenant une isolation vis-à-vis des réseaux locaux et des autre VMs.
+  * Le mode **routé**
+  * Le mode **ouvert**
+  * Le mode **isolé**(isolated) permet de définir un réseau privé entre l'hyperviseur et les machines virtuelles.
+  * Le mode pool SR-IOV
+===== Créer un réseau isolé avec virsh =====
+Comme pour les domaines (VMs) on peut exporter une configuration existante en XML et y apporter les modifications nécessaires à notre nouvelle définition.
 <code bash>
 virsh net-dumpxml default > vm-internal.xml
 </code>
+Ici on souhaite définir un réseau interne isolé pour interconnecter plusieurs VMs sans connexion Internet.
 <file xml vm-internal.xml>
@@ Ligne 31: / Ligne 45: @@
 </file>
-Ici on souhaite définir un réseau interne pour interconnecter plusieurs VMs sans connexion Internet.
+Le fichier de configuration est minimaliste. L'hyperviseur ne fournit aucun service réseau (DHCP ou résolution DNS). Il définit une interface ''virbr1'' sur l'hyperviseur qu'il faudra communiquer aux VMs que l'on souhaite relier.
 Une fois le fichier enregistré et modifié, pour définir le nouveau réseau, on peut utiliser les commandes **virsh net-define** (réseau permanent)  ou **virsh net-create** (transitoire/temporaire).
@@ Ligne 128: / Ligne 143: @@
 <code>
 insert rule ipfilter outbound position 34 oif "virbr0" tcp dport 22 log prefix "[FW] [ACCCEPT] [RID=62] " level notice counter accept comment "Autorise connexion SSH aux VMs KVM"
+</code>
+Pour que les VMs puissent avoir accès à Internet l’hôte doit également autoriser la transmission des paquets ([[netadmin:linux:ip-forwarding|forwarding]]) :
+Dans cet exemple la configuration préexistante trace et mais rejette les transmissions de trafic :
+<code>
+list chain ipfilter forward
+table ip ipfilter {
+        chain forward { # handle 3
+                type filter hook forward priority filter; policy drop;
+                log prefix "[FW] [REJECT] [RID=668] " counter packets 0 bytes 0 reject comment "Refuse toute transmission non explicitement autorisee" # handle 41
+        }
+}
+</code>
+On peut autoriser les transmissions HTTP et HTTPS en provenance du
+<code>
+insert rule ipfilter forward iif "virbr0" oif "lan0" ct state new tcp dport { 80, 443 } log prefix "[FW] [REJECT] [RID=81] " level notice counter accept comment "Transfert le trafic web pour les VMs KVM"
+insert rule ipfilter forward ct state established,related counter accept comment "Transfert les trafics des connexions explicitement autorisees"
 </code>

wikinotes

Outils pour utilisateurs

Outils du site

Différences

Outils de la page