Antoine Benkemoun

08 Oct, 2009

La configuration réseau de Xen

Posté par Antoine dans la catégorie Libre|Réseau|Virtualisation|Xen

J’ai déjà eu l’occasion d’évoquer la spécificité de la configuration réseau dans le cadre d’une plateforme de virtualisation dans un précédent billet. Je vais traiter ici des différentes configuration réseau possible avec Xen. Bien que cet article s’attachera aux modes présents dans Xen, vous pourrez sans aucun doute retrouver dans d’autres solutions de virtualisation. Si vous souhaitez un rappel de la terminologie Xen qui sera utilisé ici, je vous invite à relire l’article sur la terminologie.

Les trois modes de configuration réseau dans Xen sont : bridge, route et NAT. En Français, nous aurons donc pont, routage et NAT. Ces trois modes répondent à différents besoins en terme de configuration réseau. Le premier critère de choix du mode réseau est la topologie logique du réseau existant. Les éléments de topologie vont inclure les VLAN ainsi que les différents réseaux IP.

Le mode pont

RzoXen-Bridge

Le schéma ci-dessus explique le fonctionnement du mode pont. Il s’agit du mode le plus simple agissant au niveau le plus bas. Les domU sont connectés au dom0 via des interfaces réseau virtuels. Le dom0 ne fait qu’une simple commutation en redirigeant les trames soit vers le bon domaine soit vers le reste du réseau.

L’avantage de ce mode est l’extrême simplicité de la configuration qui permet une transparence par rapport au reste de l’architecture. La configuration des domU est également simple et ne nécessite aucune particularité. Il est possible de superposer n’importe quelle configuration IP en utilisant ce mode. Vous remarquerez que ce mode ne prend pas en compte les VLAN nativement. Nous verrons ultérieurement une possibilité de fonctionnement de ce mode avec la prise en compte des VLAN via 802.1Q.

Le mode routage

RzoXen-Route

Le schéma ci-dessus explique le fonctionnement du mode routage. Il s’agit d’un mode assez peu utilisé. La raison de la faible utilisation de ce mode est lié au fort lien entre topologie physique et topologique logique. Je m’explique. Avec cette configuration, il est pratiquement impossible de migrer des machines virtuelles entre des machines physiques sans modification de routage.

Ce mode est cependant très utile dans le cadre d’un serveur OVH doté d’IP supplémentaires. Ceci est du au fait qu’une bonne partie des serveurs OVH ne supportent pas le mode pont pour un raison inconnue.

Le mode NAT

RzoXen-NAT

Le mode NAT est une évolution du mode routage. Vous avez toujours deux plages d’IP différentes de part et d’autre du dom0 mais les IP des domU ne seront pas visibles sur le réseau public.

Par défaut, ce mode permet un accès au réseau public par les domU mais pas d’accès dans le sens inverse. Vous pourrez mettre en place des accès dans le sens inverse en utilisant iptables.

3 Commentaires to "La configuration réseau de Xen"

1 | Plam

octobre 8th, 2009 at 15 h 02 min

Avatar

La raison pour laquelle le bridging est impossible chez OVH/Dedibox et autres hébergeur est la suivante :
Le mode bridged « expose » les adresses MAC virtuelles (crées par Xen de manière aléatoire) au reste du réseau. Ces adresses MAC aléatoires peuvent poser des soucis de sécurité, puisque imprédictibles : la politique consiste à dire que toute adresse MAC inconnu est banni, entrainant la « mise en sécurité » (traduisez « coupure ») de votre dédié du reste du réseau.

Après, il est possible de spécifier les adresses MAC lors de la création de VM, ce qui pourrait fonctionner si OVH/Dedibox/whatever nous « donnait » des adresses MAC à utiliser. Mais ce surcoût ne doit pas valoir le coup pour eux, so…

2 | Antoine

octobre 9th, 2009 at 10 h 34 min

Avatar

D’accord, merci beaucoup pour l’explication !

3 | Twitted by planetlibre

octobre 10th, 2009 at 18 h 21 min

Avatar

[…] This post was Twitted by planetlibre […]

Ajoutez votre commentaire

A propos de ce blog

Ce blog a pour objectif de partager des informations avec tous les internautes. Comme indiqué dans le titre, je traiterais de différrents sujets gravitant autour de la sécurité informatique, de la virtualisation, de la l'administration système et du réseau.