[résolu] Réseau pour libvirt

naguam · 25-08-2020 11:33:09

Bonjour,

Je suis en train de me refaire un serveur pour libvirt (qui n'est pas sous debian mais ma question n'est pas spécifique à une quelquonque distribution)
Je me posais la question de ce qu'il était mieux à faire.

La machine que j'utilise n'a qu'un seul port ethernet (mais comme je n'ai que très peu de trafic (quasiment entièrement perso) c'est suffisant).

Voici donc les possibilitées "d'architectures" que j'ai pensé :

- Ce que je fesais d'habitude : Je créais un bridge virtuel sur le port ethernet et pour que l'hôte aie toujours accès, je mettais l'interface (enp2s0) en slave.
- Autre possibilité auquelle j'ai pensé : C'est de créer un vlan par vm sur l'hôte (sans oublier l'hôte mais je sais pas si en créant par exemple un vlan enp2s0:1, enp2s0 tout cours est accessible pour l'hôte ou si faut que je crée un vlan pour l'hote).
- Autre possibilité : Créer un vlan pour le système de vm et gérer le réseau pour l'hôte <voir considération sur les vlan entre parenthères au dessus>, puis créer un bridge virtuel sans slave du coup sur le vlan reservé aux vm.

J'espère avoir décris relativement correctement les possibilitées.
Mes recherches sur internet m'ont pas beaucoup éclairé...

Merci beaucoup aux connaisseurs qui pourront m'aider.

Dernière modification par naguam (21-12-2020 22:57:25)

Beta-Pictoris · 26-08-2020 10:43:43

Vlan ou pas, dans tous les cas, tu dois utiliser un bridge virtuel.

L'intérêt des vlans, c'est d'empêcher tes machines de communiquer entre elles. C'est ce que tu veux ?

Tu peux aussi utiliser un bridge nat; il existe déjà la configuration par défaut de libvirt.

Dernière modification par Beta-Pictoris (26-08-2020 10:47:07)

naguam · 26-08-2020 12:47:52

@Beta-Pictoris
En fait elle communiqueront quand même entre elles (bridge virtuel (non nat) ou vlan) mais via le réseau local de ma box si je ne me plante pas, car elle se verront dans les deux cas attribuer des ip via le serveur dhcp de la box (sauf si je configure autrement).

L'intérêt que les machines virtuelles soient sur le même réseau que l'hôte est que du point de vue du réseau local, les VM seraient considérées comme des machines indépendantes (et donc pour ça je n'utiliserais pas la conf par default de libvirt).
Cela me permettrait ensuite de mettre une machine virtuelle (avec firewall et tout ce qu'il faut) en dmz sans que l'hôte le soit par exemple.

Par rapport à ce que tu me dis sur les vlan, je croyais qu'on pouvais attribuer une interface directement à une VM (car un vlan à priori, vu par l'os, c'est une interface (ethernet dans ce cas vu que c'est elle qu'on "divise") comme une autre) et donc pas besoin de bridge virtuel, mais je peux me tromper, je souhaites bien evidemment apprendre et je prend les conseils

Du coup si je ne me plante pas dans ce que je dis actuellement, les trois possibilitées que j'ai indiquées sont possible, la question est: laquelle est la meilleure vu que la première est celle que je mettait en place avant, mais j'ai pu lire qu'il fallait mieux faire du vlan que du bridge d'un point de vue bonne pratique et surtout d'un point de vue performance (de mon côté c'est plutôt bonne pratique car la performance comme je suis quasi le seul à utiliser ce serveur....).

J'ai essayé de faire un shema pour illustrer mon premier post

Dernière modification par naguam (26-08-2020 14:28:48)

Beta-Pictoris · 26-08-2020 23:05:18

Ton hôte doit communiquer avec tes vm via un bridge.

Tes vlans doivent passer par ce bridge. Les trames seront taguées. Ta box ne les comprendra pas.

Tu dois donc affecter des plages d'adresses ip différentes pour chaque vlan et une adresse ip par vlan pour ton hôte.

Avec Network-Manager , il est facile de créer des vlans à partir d'interfaces réseaux ou de bridges : https://debian-facile.org/doc:reseau:ne … -a-un-vlan

Tu peux déjà expérimenter et voir ce que ça donne avec nmcli.

Dernière modification par Beta-Pictoris (26-08-2020 23:14:39)

naguam · 27-08-2020 18:28:52

En fait je comprend pas trop

Ton hôte doit communiquer avec tes vm via un bridge

pourquoi mon hôte devrait-il communiquer avec mes vm via un bridge (je parle de bridge virtuel sur l'hote ici car c'est ce que j'ai compris)?

Les trames sont taguées ok mais pourquoi la box ne les comprendrait pas dans le sens à moins que je me trompes, un vlan se comporte comme une nouvelle connection, dans les exemple que je peux lire :

Un port ethernet avec enp2s0:1 aurait son ip et enp2s0:2 aurait une autre ip attribuées toutes les deux par se serveur dhcp de la box et renverraient directement vers la bonne addresse non ?

En tout cas si je me plante complêtement j'aimerais bien une explication du pourquoi.

Pourquoi une plage d'ip différente par vlan ? Deux vlan avec deux ip sur le même réseau cela me parait relativement logique.

Je suis peut-être completement à côté de la plaque sur les vlan ceci dis, mais je ne demande qu'à comprendre.

J'ai un livre edition eni je vais rerelire la partie vlan et bridge, peut-être que je comprendrais ce sur quoi je passe à côté.

edit : je crois que je comprend quand meme un peux ce que tu veux me dire grâce à https://www.tolaris.com/2010/02/20/vlan … -machines/

En gros ce que tu me dis c'est que si je fais un vlan par machine virtuelle faudra quand meme que je fasse un bridge virtuel au bout de chaque vlan pour connecter les vm (meme si je pensais que on pouvais directement se connecter aux vlan.

En fait je m'embrouille je continue de me renseigner et je vous tiens au courant.

Dernière modification par naguam (27-08-2020 18:47:05)

naguam · 27-08-2020 18:51:03

https://blog.devensys.com/pourquoi-creer-des-vlans/ Ok je viens de comprendre que je m'étais completement planté sur ma compréhension du vlan...

Je croyais que un vlan permettait entre autres d'avoir plusieurs ip sur une meme interface et j'avais dans ma tête l'idée qu'on pouvait ensuite dire cette ip (enfin ce vlan) est pour cette vm etc etc et passer directement............ bref donc en conclusion pour résumer pour ce que je veux faire, avoir mes machines dans le meme lan que mon hote, il me faut donc utiliser la premiere option, les deux autres n'ayant rien à voir. ou a la limite, mettre l'hote ou la vm qui me servira de firewall dans un autre vlan pour la sécu.

Pour résumer dans le can ou tout sera sur le meme lan, j'ai juste à faire un bridge virtuel sur mon interface de sortie (entre guillemet) sur lequel se connectera l'hote via un bridge slave et libvirt se connectera directement à ce bridge (enfin si je le configure pour), ce que je faisait avant au final.

Dernière modification par naguam (27-08-2020 18:58:47)

naguam · 21-12-2020 22:41:09

Je déterre pour dire que je me suis rendu compte en revenant sur mes vieilles discussions que j'ai confondu vlan et virtual interface (connus sous le nom de alias). (eth0:0 eth0:1 etc).

Du coup je me rerenseigne et referais une discussion si besoin.

Dernière modification par naguam (21-12-2020 22:51:17)

Debian-facile

#1 25-08-2020 11:33:09

[résolu] Réseau pour libvirt

#2 26-08-2020 10:43:43

Re : [résolu] Réseau pour libvirt

#3 26-08-2020 12:47:52

Re : [résolu] Réseau pour libvirt

#4 26-08-2020 23:05:18

Re : [résolu] Réseau pour libvirt

#5 27-08-2020 18:28:52

Re : [résolu] Réseau pour libvirt

#6 27-08-2020 18:51:03

Re : [résolu] Réseau pour libvirt

#7 21-12-2020 22:41:09

Re : [résolu] Réseau pour libvirt

Pied de page des forums