IaaS虚拟机是如何隔离的？

Question

我目前正在为我的毕业论文检查Hypervisor防火墙，但不幸的是，我对IaaS环境没有太多的经验。IaaS虚拟机网络如何彼此隔离(如果有的话)？

IaaS提供商是否仅依赖于VLAN来实现网络隔离？是否将IaaS VM桥接到网络上以获得IP？大多数IaaS VM可以ping位于同一个Hypervisor上的其他VM吗？

谢谢

Answer 1

IaaS服务器使用传统的虚拟机监控程序，您可以在任何计算机上安装，通常是Xen或KVM (如果你讨厌钱的话，也可以安装Hyper-V )。它们通常使用以下之一连接到网络：

• 内部虚拟接口(TUN/TAP)，然后您可以在包含主机的级别桥接或防火墙或做任何您想要的事情。
• 可编程的进程内NAT (在企业环境中不太可能)
• 网卡共享(由管理程序管理)
• 专用网卡

网络模型取决于实现者。TUN/TAP接口提供了最大的灵活性，因为VM的网络接口在主机操作系统中显示为一个其他未连接的接口。何时以及是否向虚拟接口发送数据包完全由主机服务器的防火墙和路由表决定。但是，设置和纠正可能会很复杂。

网卡共享系统可能是最简单的，因此也是最有可能的。对全世界来说，看起来每个VM都有一个以太网接口，它们都连接到同一个交换机上。但在现实中，只有一个接口在杂乱模式下监听，主机操作系统决定是否向给定的VM发送数据包。那里的安全模型与在一个广播网络上使用多个服务器所得到的相同。

最后，为每个VM提供一个接口是最昂贵的，但也是从安全角度直观地理解的最简单的方法。每个VM都有一个网络适配器，将正确的电缆插入到适当的适配器中，就这样了。然而，这种情况不太可能在规模上找到，因为更改需要人工干预。

至于所起作用的安全模型，这同样取决于实现者。简单的地方通常不会提供网络安全(您的服务器在Internet上，处理它)，但是如果它们确实提供了专用网络，那么它们的机制就是它们自己的秘密。不过，你能做的事情只有这么多，所以你很可能可以猜到。