Обычный подход к подключению виртуальной машины к сети Интернет схож с подключением к сети любого другого устройства и заключается в подключении виртуального или проброса реального сетевого интерфейса, a также в настройке и проверке сетевых подключений, служб, правил маршрутизации и фильтрации трафика и так далее.
В случае если виртуальная машина является сервером или является виртуальным десктопом и закреплена за конкретным пользователем такой подход вполне оправдан, но что делать если виртуальная машина является публичным виртуальным десктопом и любой желающий может к ней бесплатно подключится?
Необходимо сделать так чтобы интернет в виртуальную машину заводился не со стороны хоста, а со стороны клиента.
Подключение виртуальной машины к Интенет-каналу клиента позволит:
- Сократить вычислительную нагрузку на эмуляцию сети и сетевого интерфейса.
- Исключить вероятность хакерской атаки на виртуальную машину из Интернет и виртуальной сети.
- Снять ответственность с администратора хоста за действия пользователя виртуальной машины в следующих случаях:
- Спам-рассылки,
- Загрузка/публикация нелегального/запрещенного контента,
- Взлом или хакерская атака на Интернет-ресурсы администратора , третьих лиц,
- Майнинг,
- и так далее...
- Сократить время на проверку и настройку выхода в сеть Интернет виртуальной машины
Самый простой способ завести Интернет со стороны клиента является проброс сетевого USB-адаптера или модема. Но данный способ очень требователен к качеству сети. Если виртуальная машина находится за рубежом велика вероятность того что будут возникать лаги и подвисания.
Альтернативой проброса USB-устройств может стать туннелирование портов между клиентом и виртуальной машиной через SPICE-канал по аналогии с туннелированием портов в SSH.
В виртуальных машинах QEMU есть канал передачи данных от клиента к виртуальной машине так называемый SPICE-канал. По этому каналу передаются данные устройств ввода, содержимое буфера обмена и многое другое.
Теоретически можно пробросить локальные порты клиента (IP-адрес 127.0.0.1) в виртуальную машину и оформить их как локальные.
Примерный алгоритм подключения к Интенет-каналу клиента через туннелирование портов:
- На стороне клиента можно поднять Proxy-сервер либо VPN-сервер который будет обеспечивать выход в сеть.
- В SPICE-клиенте настраивается туннелирование портов так что порты Proxy-сервера либо VPN-сервера в виртуальной машине выглядят как локальные.
- В операционной истеме и в браузере настраивается локальная Proxy-подсистема для подключения к Proxy-серверу через локальный порт либо настраивается VPN-клиент который подключается к VPN-серверу на локальном хосте и эмулирует виртуальное сетевое устройство (tun либо tap в случае с OpenVPN).
Реализация
Все что осталось сделать, чтобы туннелирование портов стало реальностью — это подправить исходный код SPICE-клиента и гостевых дополнений SPICE, сформировать патчи и отправить разработчикам. Всё это возможно потому-что исходный код SPICE открыт.
Более того в ходе переговоров с разработчиками SPICE выяснилось что подобный функционал реализован в форке SPICE компании FlexVDI. Исходный код форка частично опубликован в репозитории [https://github.com/flexvdi] в нем, говорят, есть фрагмент отвечающий за тунелирование.
Запись переговоров доступна на канале рассылки "Spice-devel" тема "Feature suggestion: Port tunneling between VM & client over spice-channel".
Область применения
Данная технология может получить широкое распространение в демонстрационных и публичных виртуальных машинах и в обычном VDI-хостинге.
Если кого-нибудь появилось желание помочь в реализации данного функционала, вы можете реализовать данный функционал и создать патчи если есть какие либо замечания и предложения, можете оставить комментарии.
Автор: b0r1s
