网络配置
网络配置是虚拟机连接外部世界的关键环节,QVMConsole 提供了完善的虚拟网络解决方案,包括灵活的网卡选择、VPC 隔离网络、安全组防护和精细化的流量管控。
网络架构概览
网卡类型
网卡类型决定了虚拟机与虚拟网络之间的通信方式,不同类型的网卡在性能和兼容性上各有特点。
网卡类型对比
| 网卡类型 | 性能 | 兼容性 | 说明 |
|---|---|---|---|
| VirtIO | 最佳 | 需要驱动 | 半虚拟化网卡,性能最优 |
| e1000e | 良好 | 广泛兼容 | Intel 千兆网卡模拟 |
| rtl8139 | 一般 | 最佳兼容 | Realtek 百兆网卡模拟 |
VirtIO 网卡
VirtIO 是一种半虚拟化 I/O 框架,VirtIO 网卡通过减少虚拟化开销来提供接近原生的网络性能。
VirtIO 优势:
- 零拷贝传输:通过共享内存减少数据复制
- 批量处理:支持合并多个数据包减少中断
- 低延迟:绕过硬件模拟层直接通信
驱动支持:
- Linux 内核原生包含 VirtIO 驱动
- Windows 需要安装 VirtIO 驱动(可从 ISO 加载)
- 大多数现代操作系统都支持
e1000e 网卡
e1000e 是 Intel 千兆以太网控制器的软件模拟,提供良好的性能和广泛的兼容性。
适用场景:
- 需要兼容性但不想使用 VirtIO 的场景
- 旧版操作系统不支持 VirtIO 驱动
- VMware 嵌套虚拟化环境
rtl8139 网卡
rtl8139 是 Realtek 百兆以太网控制器的模拟,提供最佳的兼容性但性能较低。
适用场景:
- 极旧的操作系统
- 对网络性能要求不高的场景
- 兼容性优先的测试环境
选择建议
推荐选择
- Linux 系统:强烈推荐 VirtIO,可获得最佳网络性能
- Windows 系统:安装阶段使用 e1000e,安装 VirtIO 驱动后切换到 VirtIO
- 旧系统:使用 rtl8139 确保兼容性
VPC 网络
VPC(Virtual Private Cloud)是 QVMConsole 提供的虚拟私有云网络解决方案,通过软件定义网络实现网络隔离和安全控制。
VPC 架构
VPC 核心组件
| 组件 | 功能 | 说明 |
|---|---|---|
| VPC 交换机 | 虚拟交换机,连接虚拟机 | 定义子网和网关 |
| DHCP 服务 | 自动分配 IP 地址 | 简化网络配置 |
| NAT 网关 | 网络地址转换 | 实现虚拟机访问外部网络 |
| 安全组 | 访问控制规则 | 保护虚拟机网络安全 |
VPC 交换机配置
创建虚拟机时需要选择 VPC 交换机,配置包括:
| 参数 | 说明 | 示例 |
|---|---|---|
| 交换机名称 | VPC 交换机的标识 | default-switch |
| 子网 CIDR | 网络地址范围 | 192.168.1.0/24 |
| 网关地址 | 子网网关 IP | 192.168.1.1 |
| DHCP 范围 | 自动分配的 IP 范围 | 192.168.1.100-200 |
桥接直通模式
除了标准的 VPC 模式,QVMConsole 还支持桥接直通模式:
| 特性 | 标准 VPC | 桥接直通 |
|---|---|---|
| IP 分配 | VPC DHCP | 上级路由器 |
| 网络隔离 | 支持 | 不支持 |
| NAT | 支持 | 不支持 |
| 安全组 | 支持 | 不支持 |
| 性能 | 略有开销 | 接近原生 |
| 适用场景 | 多租户隔离 | 直接接入物理网络 |
安全组
安全组是虚拟防火墙,用于控制虚拟机的入站和出站网络流量。
安全组规则
规则配置
每条安全组规则包含以下要素:
| 要素 | 说明 | 示例 |
|---|---|---|
| 方向 | 入站或出站 | 入站 |
| 协议 | TCP、UDP、ICMP 等 | TCP |
| 端口范围 | 目标端口或端口范围 | 80 或 8000-9000 |
| 源/目标 | IP 地址或 CIDR | 0.0.0.0/0 |
| 动作 | 允许或拒绝 | 允许 |
常见规则示例
| 服务 | 协议 | 端口 | 源地址 | 说明 |
|---|---|---|---|---|
| SSH | TCP | 22 | 管理员 IP | 远程管理 |
| HTTP | TCP | 80 | 0.0.0.0/0 | Web 服务 |
| HTTPS | TCP | 443 | 0.0.0.0/0 | 安全 Web 服务 |
| MySQL | TCP | 3306 | 应用服务器 IP | 数据库访问 |
| RDP | TCP | 3389 | 管理员 IP | Windows 远程桌面 |
安全建议
- 遵循最小权限原则,只开放必要的端口
- 限制管理端口(SSH/RDP)的访问源 IP
- 定期审查安全组规则,清理不再使用的规则
流量管控
QVMConsole 提供了精细化的流量管控功能,支持带宽限制和流量配额,帮助控制网络成本和保证服务质量。
带宽限制
带宽限制控制虚拟机的网络传输速率,防止单个虚拟机占用过多网络带宽。
| 参数 | 说明 | 单位 |
|---|---|---|
| 下行带宽 | 从外部下载到虚拟机的速率限制 | Mbps |
| 上行带宽 | 从虚拟机上传到外部的速率限制 | Mbps |
流量配额
流量配额限制虚拟机在一定周期内的总网络流量,超出配额后可能触发告警或限制。
| 参数 | 说明 | 单位 |
|---|---|---|
| 下行月流量 | 每月允许的下行总流量 | GB |
| 上行月流量 | 每月允许的上行总流量 | GB |
端口转发
端口转发允许将外部端口映射到虚拟机的内部端口,实现外部访问虚拟机服务。
端口转发配置:
| 参数 | 说明 | 示例 |
|---|---|---|
| 主机端口 | 宿主机监听的端口 | 8080 |
| 虚拟机端口 | 虚拟机的服务端口 | 80 |
| 协议 | TCP 或 UDP | TCP |
| 上限 | 每个虚拟机的最大端口转发数 | 10 |
轻量云配额
对于轻量云用户,管理员可以设置更精细的网络配额:
| 配额 | 说明 | 默认值 |
|---|---|---|
| 下行带宽 | 最大下行带宽限制 | 按套餐 |
| 上行带宽 | 最大上行带宽限制 | 按套餐 |
| 下行月流量 | 每月下行流量上限 | 按套餐 |
| 上行月流量 | 每月上行流量上限 | 按套餐 |
| 端口转发上限 | 最大端口转发规则数 | 10 |
| 运行时长配额 | 每月最大运行小时数 | 不限 |
运行时长配额
运行时长配额用于控制虚拟机的使用时间,到达配额后系统会自动关机。关机前会提前发送邮件提醒,避免数据丢失。
网络诊断
QVMConsole 提供了内置的网络诊断工具,帮助快速定位和解决网络问题。
诊断项目
| 诊断项 | 说明 | 检测内容 |
|---|---|---|
| 连通性测试 | 检查网络可达性 | ping 外部地址 |
| DNS 解析 | 验证 DNS 配置 | 域名解析测试 |
| 端口检测 | 检查端口开放状态 | TCP 端口连通性 |
| 路由追踪 | 分析网络路径 | traceroute |
| 带宽测试 | 测量实际带宽 | iperf 测试 |