Red Hat Training
A Red Hat training course is available for RHEL 8
13.4.2. Isolar as máquinas virtuais umas das outras usando o console web
Para evitar que uma máquina virtual (VM) se comunique com outras VMs em seu host, por exemplo, para evitar o compartilhamento de dados ou para aumentar a segurança do sistema, você pode isolar completamente a VM do tráfego da rede do lado do host.
Por padrão, uma VM recém-criada se conecta a uma rede do tipo NAT que usa virbr0, a ponte virtual padrão no host. Isto garante que a VM possa usar o NIC do host para se conectar a redes externas, bem como a outras VMs no host. Esta é uma conexão geralmente segura, mas em alguns casos, a conectividade com outras VMs pode ser um risco à segurança ou à privacidade dos dados. Em tais situações, você pode isolar a VM usando a conexão direta macvtap em modo privado ao invés da rede padrão.
No modo privado, a VM é visível para sistemas externos e pode receber um IP público na sub-rede do host, mas a VM e o host não podem acessar um ao outro, e a VM também não é visível para outras VMs no host.
Para instruções para configurar o modo privado macvtap em sua VM usando o console web, veja abaixo.
Pré-requisitos
- Para usar o console web para gerenciar as VMs, instale o plug-in de VM do console web.
- Uma VM existente com a configuração padrão NAT.
Procedimento
No painel Virtual Machines, clique na linha com a máquina virtual que você deseja isolar.
Abre-se um painel com as informações básicas sobre a VM.
- Clique na guia Network Interfaces.
Clique em Editar.
O diálogo
Virtual Machine Interface Settingsé aberto.- Definir Interface Type para Direct Attachment
Defina Source para a interface do host de sua escolha.
Observe que a interface que você selecionar variará dependendo de seu caso de uso e da configuração da rede em seu host.
Verificação
- Comece a VM clicando em Run.
No painel Terminal do console web, liste as estatísticas da interface para a VM. Por exemplo, para ver o tráfego da interface de rede para a VM panic-room:
# virsh domstats panic-room --interface Domain: 'panic-room' net.count=1 net.0.name=macvtap0 net.0.rx.bytes=0 net.0.rx.pkts=0 net.0.rx.errs=0 net.0.rx.drop=0 net.0.tx.bytes=0 net.0.tx.pkts=0 net.0.tx.errs=0 net.0.tx.drop=0Se o comando exibir saída semelhante, a VM foi isolada com sucesso.
Recursos adicionais
- Para instruções sobre como isolar uma VM usando a linha de comando, veja Seção 13.3.2, “Isolar as máquinas virtuais umas das outras usando a interface de linha de comando”.
-
Para informações adicionais sobre o modo privado
macvtap, ver Seção 13.5.6, “Fixação direta do dispositivo de rede virtual”. - Para medidas de segurança adicionais que você pode estabelecer em uma VM, veja Capítulo 15, Segurança de máquinas virtuais.
