Red Hat Training
A Red Hat training course is available for RHEL 8
13.3.2. Isolar as máquinas virtuais umas das outras usando a interface de linha de comando
Para evitar que uma máquina virtual (VM) se comunique com outras VMs em seu host, por exemplo, para evitar o compartilhamento de dados ou para aumentar a segurança do sistema, você pode isolar completamente a VM do tráfego da rede do lado do host.
Por padrão, uma VM recém-criada se conecta a uma rede do tipo NAT que usa virbr0, a ponte virtual padrão no host. Isto garante que a VM possa usar o NIC do host para se conectar a redes externas, bem como a outras VMs no host. Esta é uma conexão geralmente segura, mas em alguns casos, a conectividade com outras VMs pode ser um risco à segurança ou à privacidade dos dados. Em tais situações, você pode isolar a VM usando a conexão direta macvtap em modo privado ao invés da rede padrão.
No modo privado, a VM é visível para sistemas externos e pode receber um IP público na sub-rede do host, mas a VM e o host não podem acessar um ao outro, e a VM também não é visível para outras VMs no host.
Para instruções para configurar o modo privado macvtap em sua VM usando o CLI, veja abaixo.
Pré-requisitos
- Uma VM existente com a configuração padrão NAT.
O nome da interface do host que você deseja usar para a conexão
macvtap. A interface que você deve selecionar variará de acordo com o seu caso de uso e a configuração da rede em seu host. Como exemplo, este procedimento utiliza a interface ethernet física do host.Para obter o nome da interface visada:
$ ip addr [...] 2: enp0s31f6: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000 link/ether 54:e1:ad:42:70:45 brd ff:ff:ff:ff:ff:ff [...]
Procedimento
Use a interface selecionada para configurar o
macvtapprivado no VM selecionado. O exemplo a seguir configuramacvtapem modo privado na interfaceenp0s31f6para a VM chamada panic-room.# virt-xml panic-room --edit --network type=direct,source=enp0s31f6,source.mode=private Domain panic-room XML defined successfully
Verificação
Inicie o VM atualizado.
# virsh start panic-room Domain panic-room startedListe as estatísticas da interface para a VM.
# virsh domstats panic-room --interface Domain: 'panic-room' net.count=1 net.0.name=macvtap0 net.0.rx.bytes=0 net.0.rx.pkts=0 net.0.rx.errs=0 net.0.rx.drop=0 net.0.tx.bytes=0 net.0.tx.pkts=0 net.0.tx.errs=0 net.0.tx.drop=0Se o comando exibir saída semelhante, a VM foi isolada com sucesso.
Recursos adicionais
- Para instruções sobre como isolar uma VM usando o console web, veja Seção 13.4.2, “Isolar as máquinas virtuais umas das outras usando o console web”.
-
Para informações adicionais sobre o modo privado
macvtap, ver Seção 13.5.6, “Fixação direta do dispositivo de rede virtual”. - Para medidas de segurança adicionais que você pode estabelecer em uma VM, veja Capítulo 15, Segurança de máquinas virtuais.
