Les hyperviseurs sont des outils utilisés pour créer des machines virtuelles (VM) pour héberger des services, tester et développer des logiciels dans un environnement sécurisé. Malheureusement, ce niveau de sécurité n'est possible qu'en séparant complètement la machine virtuelle du monde physique, ce qui pose problème si le projet nécessite une mise en réseau.
Pour cette raison, les hyperviseurs proposent différents modes de mise en réseau pour fournir des capacités de mise en réseau à une machine virtuelle tout en maintenant un certain niveau de sécurité. Ces modes de mise en réseau incluent les réseaux NAT, pontés et hôtes uniquement.
Alors, que sont exactement les modes de mise en réseau NAT, ponté et hôte uniquement? Comment fonctionnent-ils et lesquels devez-vous utiliser ?
Qu'est-ce que le NAT ?
La traduction d'adresses réseau (NAT) est un mode de mise en réseau dans lequel les hôtes traduisent l'adresse IP de la VM vers le routeur pour que la VM puisse se connecter à Internet.
Fondamentalement, lors de la connexion à Internet, l'adresse IP de la VM est masquée par l'adresse IP de l'hôte. Ce mode ne permet pas l'interconnexion entre les VM, ni ne permet à une VM de communiquer avec d'autres machines physiques à l'exception de l'hôte.
La VM reçoit un adresse IP via un serveur DHCP virtuel relié au modem réseau de l'hôte physique, et non le serveur DHCP du routeur physique. Un serveur DHCP virtuel est automatiquement créé chaque fois qu'une machine virtuelle est créée. Cela signifie que l'adresse IP d'une VM utilisant un adaptateur NAT peut avoir la même adresse IP qu'une autre VM sans causer de problèmes. Cependant, cela signifie également que chaque machine virtuelle hébergée par la machine hôte physique ne peut pas interagir entre elles car elles partagent la même adresse IP.
Dans les cas où les machines virtuelles nécessitent un NAT fonctionnel et une connexion réseau entre elles, certains hyperviseurs tels que VirtualBox fournissent des options pour le mode "réseau NAT".
Qu'est-ce qu'un réseau hôte uniquement ?
Un réseau hôte uniquement offre le plus haut niveau de sécurité réseau en échange de capacités réseau très limitées. Par exemple, un réseau hôte uniquement permet à toutes les machines virtuelles et à la machine hôte de se mettre en réseau tout en étant coupées du réseau physique. Et comme la machine hôte ne traduit pas l'adresse des VM, le routeur ne peut leur fournir aucun accès à Internet.
Un réseau hôte uniquement utilise un serveur DHCP virtuel de la machine hôte pour donner une adresse IP unique à chaque VM. Les adresses MAC sont automatiquement définies, mais vous pouvez modifier l'adresse MAC et l'adresse IP si vous le souhaitez.
Qu'est-ce qu'un réseau ponté ?
Un réseau ponté est le plus permissif de tous les types de connexion réseau.
Il permet à une machine virtuelle de se mettre en réseau avec d'autres machines virtuelles et toutes les machines physiques du réseau physique. Bien qu'un réseau ponté fournisse aux machines virtuelles toutes les fonctionnalités de mise en réseau, il diminue sa sécurité car les machines virtuelles sont également sensibles aux vulnérabilités du réseau, similaires à une ouverture réseau physique.
Un adaptateur de pont fournit à chaque machine virtuelle une adresse IP unique au sein du sous-réseau physique du réseau. Les VM obtiennent leur adresse IP non pas d'un serveur DHCP virtuel mais du routeur physique de votre réseau. Pour utiliser un réseau ponté, un utilisateur doit sélectionner manuellement le mode adaptateur ponté sur l'hyperviseur et définir des adresses MAC uniques pour chaque machine virtuelle.
Comparaison des réseaux NAT, pontés et hôtes uniquement
Les réseaux NAT, pontés et hôtes uniquement sont trois des modes de mise en réseau les plus courants utilisés par les machines virtuelles pour la connectivité. Selon le mode de connexion, votre machine virtuelle aura différents degrés de capacités de mise en réseau. Bien qu'avoir une adresse IP ouverte à toutes les connexions puisse sembler pratique et utile, le risque créé par une connexion entièrement ouverte n'en vaut pas la peine. En outre, la configuration du mode réseau correct est facile et peut être effectuée en quelques secondes.
L'important est que vous devez comprendre quel mode réseau correspond le mieux à vos besoins. Pour vous faciliter la compréhension, voici un tableau sur ce à quoi chaque mode réseau spécifique donne accès :
Mode réseau |
Accès à d'autres VM |
Accès à l'hôte |
Accès aux machines physiques |
Accès Internet |
|---|---|---|---|---|
NAT |
Non |
Oui (aller simple) |
Non |
Oui |
Ponté |
Oui |
Oui |
Oui |
Oui |
Hôte uniquement |
Oui |
Oui |
Non |
Non |
NAT contre Mode ponté vs. Host-Only: quel mode réseau utiliser ?
Il existe de nombreuses applications pratiques pour utiliser une machine virtuelle. Bon nombre de ces applications se présentent généralement sous la forme de services de test, d'éducation, de développement et d'hébergement.
D'après le tableau, NAT ne peut pas se connecter à d'autres machines virtuelles et aux machines du réseau physique. Les machines virtuelles configurées pour utiliser NAT sont invisibles pour les machines physiques et les autres machines virtuelles hébergées par la machine hôte. Et comme une machine virtuelle dans une configuration NAT ne peut pas être vue par d'autres machines, le risque d'éventuelles attaques par balayage de port est éliminé.
Cela fait de NAT une connexion réseau appropriée pour tester des projets où la machine virtuelle doit être isolée mais a également besoin d'un accès Internet. De plus, NAT peut également être utilisé par des établissements utilisant des machines virtuelles comme clients pour naviguer sur Internet et effectuer diverses tâches d'entreprise.
D'autre part, une configuration de réseau en pont permet la connexion à des machines virtuelles définies de manière similaire, à la machine hôte, aux machines physiques sur le serveur et à Internet. Ce mode accorde une connectivité réseau complète au détriment d'avoir le moins de sécurité. Par exemple, un réseau ponté est nécessaire si une machine virtuelle héberge un serveur Web, un serveur de fichiers ou un serveur de messagerie.
Contrairement au réseau ponté, un réseau hôte uniquement offre la meilleure sécurité réseau au détriment d'une faible connectivité. Un réseau ponté permet uniquement la connexion à l'hôte et aux autres machines virtuelles. Bien que très isolé, un host-only connexion est mieux utilisée lors de la configuration d'un réseau virtuel privé pour tester et apprendre sur la cyber-sécurité.
Vous pouvez mélanger et assortir différents modes de mise en réseau de machines virtuelles
Les services de test, de développement et d'hébergement sont des domaines assez larges d'utilisation des machines virtuelles. Cependant, pour des tâches plus spécialisées, vous pouvez rencontrer des situations où les modes réseau NAT, pont ou hôte uniquement ne correspondent pas au type de connexion dont vous avez besoin.
Pour adapter votre mode réseau, vous pouvez mélanger et assortir les modes de connexion. Cela est possible car les hyperviseurs attribuent souvent aux machines virtuelles quatre à huit adaptateurs réseau. Ainsi, vous pouvez utiliser plusieurs modes réseau si nécessaire. Par exemple, vous avez besoin d'un réseau disposant d'une connexion Internet et de VM à VM tout en étant invisible pour le réseau physique. Vous combineriez les modes réseau NAT et hôte uniquement pour créer une telle connexion.
Et c'est essentiellement tout ce que vous devez savoir sur les modes de mise en réseau des machines virtuelles. J'espère que vous pouvez maintenant utiliser et personnaliser vos réseaux de VM.