項目六構建KVM虛擬機網絡與服務構建KVM虛擬機網絡《云網絡技術項目教程》項目描述為提高服務器資源利用率，降低IT運維成本，采用KVM虛擬化技術構建虛擬機集群。在集群中構建虛擬化網絡，實現虛擬機的內外網絡互聯。綁定多網卡提高網絡節點的可用性，配置DHCP服務為虛擬機分配IP地址，部署負載均衡服務實現WEB服務的高可用，配置防火墻和安全組規則加固網絡安全。

項目6任務思維導圖如圖6-1所示。圖6-1項目6任務思維導圖構建KVM虛擬機網絡【知識目標】（1）掌握KVM（Kernel-basedVirtualMachine，基于內核的虛擬機）虛擬化的特點。（2）掌握KVM虛擬化的實現方式。（1）能夠安裝管理KVM虛擬機。（2）能夠配置多網卡綁定提高網絡可用性。（3）能夠配置KVM虛擬機集群的內外網互聯。【技能目標】【網絡拓撲】任務6-1的網絡拓撲如圖6-2所示。圖6-2任務6-1網絡拓撲必備知識1.KVM虛擬化KVM是一種基于Linux內核的虛擬化技術，它允許在一臺物理主機上創建和管理多個虛擬機。KVM利用了Linux內核的虛擬化功能，將物理服務器劃分為多個獨立的虛擬機，每個虛擬機都可以運行自己的操作系統和應用程序。通過在Linux內核中加載KVM模塊，將其轉變為一個虛擬化層，提供對硬件的直接訪問和管理能力，使虛擬機可以與物理硬件之間進行直接的交互。每個虛擬機都被視為一個獨立的進程，并且具有自己的虛擬CPU、內存、磁盤和網絡設備等，KVM虛擬化的主要特點包括以下幾種。（1）硬件支持KVM依賴于處理器的虛擬化擴展，使虛擬機可以直接訪問物理硬件，并獲得接近本地性能的性能，通過直接訪問硬件和優化的虛擬化技術，KVM可以實現較低的虛擬化開銷。（2）完整的虛擬化KVM提供了完全虛擬化的能力，可以運行幾乎所有的操作系統，包括Windows、Linux、Unix等。（3）靈活性和可擴展性KVM可以根據需要動態分配和管理虛擬機的資源，如CPU、內存和存儲等，允許虛擬機在不同的物理主機之間進行遷移，以實現負載均衡和故障恢復。（4）安全性和隔離性由于每個虛擬機都是獨立的進程，它們之間是完全隔離的。這提供了更高的安全性，可以防止一個虛擬機中的應用程序影響其他虛擬機或主機系統。必備知識2.KVM虛擬化實現方式在服務器上虛擬出計算機的過程如圖6-3所示，首先在服務器硬件上安裝Linux操作系統，KVM內核模塊就自動被安裝了，通過KVM內核可以對CPU和內存進行虛擬化，提供給客戶機（虛擬機）使用，實現磁盤和網卡等IO（輸入輸出）設備的虛擬化，需要借助QEMU（QuickEmulator，快速仿真器）實現，虛擬了CPU、內存、磁盤、網卡等設備后，就可以在客戶機（虛擬機）上安裝操作系統了各種應用了。圖6-3任務6-1服務器虛擬計算機過程必備知識3.使用KVM和QEMU方法QEMU是一款開源工具，在安裝KVM虛擬機時，直接安裝到Linux操作系統上，使用相關命令虛擬磁盤和網卡等IO設備。KVM是Linux操作系統的內核，用戶安裝了Linux后就安裝KVM內核模塊，但用戶是無法直接管理KVM的，需要在Linux上安裝libvirt工具實現對KVM的相關管理，如圖6-4所示，安裝了libvirt工具后，還需要使用virsh命令行、virt-manager等工具對libvirt進行操作，間接的管理KVM內核模塊。圖6-4任務6-1使用KVM內核模塊創建KVM虛擬機1.配置服務器網絡環境首先使用CentOS8.ova模板機創建三臺名稱為node1、node2、node3的服務器，在node1上再添加兩塊網卡。三臺服務器的網卡及IP地址配置如表6-1所示。表6-1網卡地址及所屬網絡服務器名稱網卡名稱

連接到網絡網絡模式IP地址node1ens160VMnet1僅主機192.168.10.2ens192lan1區段自定義網絡不配置IP地址ens256lan1區段自定義網絡不配置IP地址ens161VMnet8nat不配置IP地址node2ens160VMnet1僅主機192.168.10.3ens192lan1區段自定義網絡不配置IP地址node3ens160VMnet1僅主機192.168.10.4ens192lan1區段自定義網絡不配置IP地址其中node1、node2、node3的ens160網卡用于登錄管理主機，在node1上將ens192和ens256綁定，與node2和node3的ens192網卡用于跨主機之間的網絡通信，node1的ens161用于內部網絡與外部網絡互聯，也就是說，node2和node3的虛擬機訪問外部網絡流量需要經過node1服務器的ens161網卡。將node1服務器的ens192、ens256網卡、node2服務器的ens192網卡、node3服務器的ens192網卡設置為lan1區段。方法是首先在每臺服務器的“虛擬機設置”對話框中單擊“LAN區段（S）…”按鈕，添加一個lan區段，名稱為lan1，然后服務器中的每塊網卡設置為lan1區段，設置node1服務器網卡的lan1區段如圖6-5所示。圖6-5任務6-1node1服務器的網卡lan區段設置配置完成后，查看node1服務器的網卡和IP地址配置，如圖6-6所示。圖6-6任務6-1node1服務器網卡配置查看node2服務器的網卡和IP地址配置，如圖6-7所示。圖6-7任務6-1node2服務器網卡配置查看node3服務器的網卡和IP地址配置，如圖6-8所示。圖6-8任務6-1node3服務器網卡配置創建KVM虛擬機2.在服務器上安裝KVM虛擬機（1）檢查基礎環境在node2和node3安裝KVM虛擬機的過程是一致的，所以這里以node2服務器節點為例，講解安裝KVM虛擬機的過程，node3服務器的虛擬機安裝參照node2完成。①檢查服務器是否開啟了硬件虛擬化支持由于KVM虛擬化是需要硬件虛擬化輔助實現的，所以查看服務器是否開啟了硬件虛擬化的支持，方法是使用egrep抓取/proc/cpuinfo信息，命令如下。[root@node2~]#egrep'(vmx|svm)'/proc/cpuinfo結果如圖6-9所示。圖6-9任務6-1查看硬件是否開啟了cpu虛擬化支持在結果中發現了vmx的信息，說明硬件已經開啟了虛擬化支持，如果沒有此信息，首先在計算機的BIOS（basicinputoutputsystem，基本輸入輸出系統）中開啟CPU的虛擬化，然后在VMware中開啟每個節點的CPU虛擬化，如圖6-10所示。圖6-10任務6-1VMware中開啟節點的CPU虛擬化②檢查內核是否加載了KVM模塊使用lsmod|grepkvm命令可以查看內核是否加載了kvm模塊，結果如圖6-11所示。圖6-11任務6-1查看內核是否加載了KVM模塊從結果中可以看到，內核中已經加載了KVM虛擬化內核模塊。（2）安裝管理程序管理KVM內核模塊需要安裝libvirt程序，模擬虛擬磁盤和網卡的程序是qemu，安裝和運維虛擬機需要使用virt-manager工具，首先安裝這3個軟件。[root@node2~]#yuminstalllibvirtqemu-kvmvirt-manager-y使用virt-manager或命令行通過libvirt程序創建管理虛擬機，啟動libvirt并設置開機自啟動的命令如下。[root@node2~]#systemctlstartlibvirtd&&systemctlenablelibvirtd（3）啟動virt-manager圖形安裝界面①安裝gui(GraphicalUserInterface，圖形用戶接口）圖像界面在node2服務器上，需要安裝CentOS的圖形化界面，支持virt-manager的啟動，命令如下。[root@node2~]#yumgroupinstall"ServerwithGUI"-y安裝完成后，重啟啟動node2，使用SecureCRT再次登錄。②windows主機安裝Xming軟件在CentOS上運行virt-manager軟件時，需要在windows上安裝Xming軟件提供圖形化支持，首先在windows上啟動Xming安裝程序，如圖6-12所示。圖6-12任務6-1啟動Xming安裝程序安裝時，不用修改默認的選項，每個步驟直接點擊“Next”按鈕，將Xming安裝到Windows上，安裝完成后，啟動Xming，在“任務欄”的右下角會看到Xming軟件啟動圖標，等待virt-manager的連接。③設置secureCRT轉發X11數據包在secureCRT的“選項”中選擇“會話”選項，選中“端口轉發”下的“遠程/X11”選項，選中轉發“X11數據包（F）”和“強制X11鑒權（N）”，單擊“確定”按鈕，如圖6-13所示。圖6-13任務6-1開啟X11數據轉發④啟動virt-manager管理程序在node2上啟動virt-manager軟件，命令如下。[root@node2~]#virt-manager啟動完成后，在windows上會啟動virt-manager的圖形化界面，如圖6-14所示。圖6-14任務6-1virt-manager圖形安裝界面創建KVM虛擬機3.創建centos6虛擬機（1）上傳centos6.5安裝文件選擇CentOS6.5的原因是占用的資源比較少，將CentOS-6.5的鏡像文件上傳到libvirt鏡像文件默認目錄/var/lib/libvirt/images，如下所示。[root@node2images]#lsCentOS-6.5.iso（2）使用virt-manager創建VM1虛擬機在virt-manager啟動頁面，單擊“創建虛擬機”圖標，如圖6-15所示。圖6-15任務6-1創建虛擬機彈出“生成新虛擬機”對話框，如圖6-16所示。圖6-16任務6-1選擇安裝操作系統方式圖6-17任務6-1選擇操作系統鏡像文件選擇默認的“本地安裝介質（ISO映像或者光驅）（L）”安裝操作操作系統，單擊“前進”按鈕。在“生成虛擬機5的步驟2”對話框中選擇“瀏覽”按鈕，如圖6-17所示。圖6-18任務6-1選擇安裝文件在彈出的對話框中，選擇/var/lib/libvirt/images目錄下的默認安裝文件CentOS6.5.iso文件，單擊“選擇卷”按鈕，如圖6-18所示。圖6-19任務6-1導入系統文件和版本選擇后，在“生成虛擬機5的步驟2”對話框中就會顯示鏡像文件的名稱，在對話框的下方，選擇安裝操作系統版本，一般情況下，會根據選擇的鏡像自動識別，如圖6-19所示。圖6-20任務6-1選擇內存大小和CPU核數在彈出的“生成虛擬機5的步驟3”中選擇內存大小為1024M，CPU核心數為1，單擊“前進”按鈕，如圖6-20所示。圖6-21任務6-1選擇虛擬磁盤空間在彈出的“生成虛擬機5的步驟4”中選擇默認的為虛擬機創建9G磁盤鏡像，單擊“前進”按鈕，如圖6-21所示。圖6-22任務6-1修改虛擬機名稱與選擇網絡在彈出的“生成虛擬機5的步驟5”中修改虛擬機的名稱為vm1，在“選擇網絡”選項，選擇默認的“虛擬網絡‘default’：NAT”，如圖6-22所示。單擊“完成按鈕”后，彈出安裝虛擬機操作系統的界面，如圖6-23所示，需要注意的是這里的對話框是針對vm1這個虛擬機的，和virt-manager啟動后的管理界面是兩個對話框，也就是說這個界面是vm1虛擬機的控制臺，在控制臺可以對虛擬機進行各種詳細的操作，而virt-manager主要用來安裝和克隆虛擬機等操作。圖6-23任務6-1安裝CentOS6.5操作系統圖6-24任務6-1安裝成功界面安裝CentOS6.5的過程與項目3中制作CentOS8模板機的過程基本一致，這里不再贅述，具體操作在微課視頻中講解，需要注意的有兩點，一在配置網絡時，將網卡設置為默認啟動。二是root用戶的密碼要求6位，這里設置為000000。安裝成功的界面如圖6-24所示。圖6-25任務6-1登錄vm1虛擬機單擊“重新引導”按鈕進入操作系統登錄頁面，輸入用戶名root，密碼000000后登錄操作系統，查看IP地址，如圖6-25所示。圖6-26任務6-1登錄vm2虛擬機圖6-25任務6-1登錄vm1虛擬機管理KVM虛擬機1.使用virt-manager管理虛擬機（1）在virt-manager主界面管理虛擬機使用virt-manager創建虛擬機后，可以對虛擬機進行管理，在虛擬機名稱列表中，右鍵單擊“VM1”，在彈出的菜單中，可以對虛擬機進行暫停、關機、重啟、克隆、遷移、刪除、打開控制臺等操作，在克隆虛擬機時，需要將虛擬機關機，如圖6-27所示。圖6-27任務6-1鼠標右鍵管理虛擬機（2）控制臺管理虛擬機點擊virt-manager啟動頁面的“打開”圖標或者右鍵單擊虛擬機后，在彈出菜單出選擇“打開”都可以進入虛擬機的控制臺，在虛擬機控制臺中，可以登錄虛擬機操作系統、添加虛擬機硬件、拍攝快照等操作，如圖6-28所示。圖6-28任務6-1虛擬機控制臺后續在網絡配置中，會使用到“顯示虛擬機硬件詳情”圖標，修改網卡所連接的網橋信息。管理KVM虛擬機2.使用命令行管理虛擬機（1）虛擬機域管理在服務器上，使用virsh命令可以更加細致的管理虛擬機，每個虛擬機被稱為一個域。可以使用virsh--help查看管理虛擬的所有命令。查看當前所有虛擬機的命令如下。[root@node2~]#virshlist--all結果如圖6-29所示。圖6-29任務6-1查看所有虛擬機如果只查看正在啟動的虛擬機可以去掉--all選項，使用virshshutdown命令關閉虛擬機，關閉vm1虛擬機的命令如下。[root@node2~]#virshshutdownvm1如果使用shutdown關閉虛擬機沒有生效，可以使用virshdestroy命令強制關閉虛擬機，強制關閉虛擬機vm1的命令如下。[root@node2~]#virshdestroyvm1關閉后，再使用virshlist命令已經不能看到虛擬機了，使用virshlist--all查看運行和關閉的虛擬機，結果如圖6-30所示。圖6-30任務6-1關閉虛擬機后再次查看使用virshstart命令開啟關閉的虛擬機，如打開vm1的命令如下。[root@node2~]#virshstartvm1使用virshlist命令查看啟動的虛擬機，可以發現vm1已經啟動了，如圖6-31所示。圖6-31任務6-1開啟vm1后查看虛擬機（2）虛擬機網絡管理使用virshdomiflist可以顯示服務器上的虛擬網卡信息，如查看vm1的虛擬網卡信息命令如下。[root@node2~]#virshdomiflistvm1結果如圖6-32所示。圖6-32任務6-1vm1的虛擬網卡說明在node2服務器上的vnet12與虛擬機中的網卡eth0是成對出現的，即虛擬機與外部通信流量先到達vnet0，使用ethtool命令可以查看vnet0的類型為tap虛擬網卡，如圖6-33所示。圖6-33任務6-1查看虛擬網卡vnet0的類型在node2服務器上使用iplink查看當前的網卡鏈接，如圖6-34所示。圖6-34任務6-1node2服務器網卡信息發現在node2服務器上新建立了3張網卡，分別是virbr0、birbr0-nic、vnet0，其中vnet0就是與vm1虛擬機的通信網卡了。查看網卡IP地址時，發現virbr0配置了IP地址192.168.122.1/24，如圖6-35所示，這時由于libvirt程序配置了DHCP分配功能，為virbr0虛擬網橋和虛擬機vm1分配了相應的IP地址。接下來分析三張網卡之間的關系，在node2服務器上安裝bridge-utils網橋工具，查看當前的網橋信息，如圖6-36所示。圖6-35任務6-1virbr0的IP地址圖6-36任務6-1查看網橋信息從結果中發現virbr0是qemu工具建立的虛擬網橋，連接到了tap網卡vnet0上，再通過vnet0與虛擬機vm1進行通信，virbr0-nic虛擬網卡也綁定到了virbr0上，暫時沒有連接其他設備，處于關閉狀態。在node3服務器上，同樣可以查看網橋和連接的網卡信息，如圖6-37所示。圖6-37任務6-1node3網橋信息綁定多網卡提高網絡可用性1.配置網絡節點的雙網卡綁定根據任務拓撲所示，在網絡服務器上需要將ens192和ens256兩塊網卡綁定在一塊，為node2和node3上的虛擬機提供高可靠的網絡服務，配置過程如下。（1）加載bonding模塊在綁定多張網卡時，需要使用Linux內核模塊bonding，所以首先加載它，命令如下。[root@node1~]#modprobe--first-timebonding加載完成后，查看內核模塊是否加載，命令如下。[root@node1~]#lsmod|grepbonding結果如圖6-38所示。圖6-38任務6-1查看內核加載bonding模塊從結果中發現，bonding模塊已經被加載成功。（2）配置綁定網卡首先進入到網絡配置文件目錄，在目錄下創建文件ifcfg-bond1，打開文件輸入以下內容。DEVICE=bond1BOOTPROTO=staticONBOOT=yesUSERCTL=noBONDING_OPTS="mode=1miimon=100"其中USERCTL=no指定只有root用戶或具有特權的用戶才能對綁定接口進行操作和配置。BONDING_OPTS是綁定網卡的重要選項，miimon=100指明每個接口檢查鏈路狀態的時間是100毫秒，也就是說加入到bond1的多網卡需要經過100毫秒進行鏈路狀態檢查。mode指定的是數據發送與接收的模式，常見的bonding模式包括負載均衡模式、主備模式，兩種模式的解釋如下。①負載均衡模式mode=0是負載均衡模式，表示多塊網卡同時收發數據，作用是增加了帶寬，實現了負載均衡。②主備模式mode=1是主備模式，只有一塊網卡收發數據，另一塊網卡做備份，實現了網卡備份。（2）將ens192和ens256加入綁定網卡bond1在ens192和ens256配置文件的末尾加上以下配置。MASTER=bond1SLAVE=yes第一行配置指明bond1網卡是本網卡的主網卡，第二行配置指明本網卡是從網卡，配置完成后重啟網絡管理和網絡鏈接。綁定多網卡提高網絡可用性2.測試雙網卡綁定（1）查看配置效果①查看網卡信息首先在node1服務器上使用iplink命令查看網卡信息，如圖6-39所示。圖6-39任務6-1查看node1網卡配置從結果中發現，新增加了一塊網卡bond1，而且ens192和ens256的主網卡已經設置成bond1了。②查看負載均衡配置信息查看/proc/net/bonding/bond1文件可以觀察網卡綁定配置信息，如圖6-40所示。圖6-40任務6-1網卡負載均衡綁定信息從結果中發現，網卡綁定模式是（active-backup）主備模式，當前的主網卡是ens192,網卡ens256作為備份網卡。（2）測試效果①配置網卡臨時IP地址由于本任務是不需要為綁定網卡bond1配置IP地址的，所以為bond1配置臨時IP地址，用于測試，測試完成后，刪除臨時IP地址。配置bond1的IP地址為1.1.1.1/24，命令如下。[root@node1~]#ipaddradd1.1.1.1/24devbond1在node2服務器上，配置ens192的臨時IP地址為1.1.1.2/24，命令如下。[root@node2~]#ipaddradd1.1.1.2/24devens192②測試node2與node1服務器上的bond1連通性在測試之前，首先在node1上分別抓取ens192和ens256的網卡icmp協議流量，命令如下。[root@node1~]#tcpdump-iens192-picmp[root@node1~]#tcpdump-iens256-picmp在node2服務器上測試與bond1的192.168.1.1連通性，結果如圖6-41所示。圖6-41任務6-1測試node2與node1服務器網卡bond1連通性從結果中發現，已經能夠正常通信。查看ens192抓取數據的流量，如圖6-42所示。圖6-42任務6-1ens192網卡的數據流量查看ens256抓取數據的流量，如圖6-43所示。圖6-43任務6-1ens256網卡的數據流量從抓取流量的結果可以發現，2塊網卡中只有ens192承載了node2服務器到node1服務器的測試流量，說明網卡將ens192和ens256綁定成bond1的操作成功了，主備模式已經生效，測試完成后將node1服務器上bond0的臨時IP地址和node2服務器上ens192的臨時IP地址刪除，命令如下。[root@node1~]#ipaddrdel1.1.1.1/24devbond1[root@node2~]#ipaddrdel1.1.1.2/24devens192橋接KVM虛擬機到自定義網絡1.配置服務器node2和node3在node2服務器上創建了vm1虛擬機，在node3服務器上創建了vm2虛擬機，需要將vm1和vm2連接到集群網絡之中，配置步驟如下。（1）配置node2的虛擬網橋并且綁定網卡①創建虛擬網橋br2在node2服務器的網絡配置目錄，創建虛擬網橋文件ifcfg-br2，在br2中輸入以下內容。TYPE=BridgeNAME=br2DEVICE=br2ONBOOT=yes②創建ifcfg-ens192.10子接口創建ens192網卡的子接口ens192.10，封裝vlan標記為10，在網絡配置目錄下創建ifcfg-ens192.10文件，在文件中輸入以下內容。VLAN=yesTYPE=VLANPHYSDEV=ens192VLAN_ID=10NAME=ens192.10DEVICE=ens192.10ONBOOT=yesBRIDGE=br2其中最后一行配置指明將此網卡綁定到br2網橋上，保存后，重啟網絡管理程序和鏈接。③綁定虛擬網卡到br2網橋將node2上連接vm1的虛擬網卡綁定到br2網橋上，在虛擬機vm1的控制臺下，選擇左側“NIC”網卡，在“網絡源”處選擇指定共享設備名稱，在“網橋名稱”文本框中輸入br2，單擊“應用”按鈕，如圖6-44所示。圖6-44任務6-1綁定虛擬網卡到br2網橋綁定完成后，重啟虛擬機vm1，重啟完成，查看node2服務器上的網橋配置，結果如圖6-45所示。需要說明的是虛擬網卡是在虛擬機啟動時，由qemu創建的，所以虛擬網卡的名稱是有可能變化的，但不會影響虛擬機與外部通信。圖6-45任務6-1node2服務器虛擬網橋信息從結果可以看出，br2已經成功綁定了ens192.10和vnet0虛擬網卡。（2）配置node3的虛擬網橋并且綁定網卡①創建虛擬網橋br3在node2服務器的網絡配置目錄，創建虛擬網橋文件ifcfg-br3，在br2中輸入以下內容。TYPE=BridgeNAME=br3DEVICE=br3ONBOOT=yes②創建ifcfg-ens192.10子接口創建ens192網卡的子接口ens192.10，封裝vlan標記為10，在網絡配置目錄下創建ifcfg-ens192.10文件，在文件中輸入以下內容。VLAN=yesTYPE=VLANPHYSDEV=ens192VLAN_ID=10NAME=ens192.10DEVICE=ens192.10ONBOOT=yesBRIDGE=br3其中最后一行配置指明將此網卡綁定到br3網橋上，保存后，重啟網絡管理程序和鏈接。③綁定虛擬機網卡到br3網橋將node3上連接vm2的虛擬網卡綁定到br3網橋上，在虛擬機vm2的控制臺下，選擇左側“NIC”網卡，在“網絡源”處選擇指定共享設備名稱，在“網橋名稱”文本框中輸入br3，單擊“應用”按鈕，如圖6-46所示。圖6-46任務6-1綁定虛擬機網卡到網橋br3綁定完成后，重啟虛擬機vm2，重啟完成，查看node3服務器上的網橋配置，結果如圖6-47所示。圖6-47任務6-1node2服務器虛擬網橋信息從結果可以看出，br3已經成功綁定了ens192.10和vnet1虛擬網卡。綁定多網卡提高網絡可用性2.配置網絡節點node1（1）創建網橋br1并綁定bond1.10在node1服務器的網絡配置目錄下，創建ifcfg-br1文件，在文件中輸入以下內容。TYPE=BridgeNAME=br1DEVICE=br1ONBOOT=yes然后創建ifcfg-bond1.10文件，將該網卡配置成bond1的子接口，封裝vlan標記為10，在文件中輸入以下內容。VLAN=yesTYPE=VLANPHYSDEV=bond1VLAN_ID=10NAME=bond1.10DEVICE=bond1.10ONBOOT=yesBRIDGE=br1其中PHYSDEV=bond1指明物理網卡是bond1網卡，最后一行配置BRIDGE=br1指定該網卡綁定到br1虛擬網橋上，配置完成后重啟網絡管理程序和鏈接，查看網橋配置如圖6-48所示。圖6-48任務6-1br1網橋綁定bond1.10網卡（2）創建虛擬路由r1和虛擬網橋brout①創建brout虛擬網橋在網絡配置目錄下，創建ifcfg-brout文件，在文件中輸入以下內容。TYPE=BridgeNAME=broutDEVICE=broutONBOOT=yes②創建虛擬路由和veth虛擬網卡在node1服務器上創建虛擬路由器r1，為虛擬機提供網關和路由轉發服務，r1通過brout連接到ens161網卡，實現與外界互聯，配置如下。[root@node1~]#ipnetnsaddr1#添加名稱空間r1[root@node1~]#iplinkaddveth1typevethpeernameveth11#添加成對虛擬網卡[root@node1~]#iplinksetveth11up#啟動虛擬網卡veth11[root@node1~]#iplinksetveth1netnsr1#移動虛擬網卡veth1到r1下[root@node1~]#ipnetnsexecr1iplinksetveth1up#啟動veth1[root@node1~]#iplinkaddvethbr1typevethpeernamevethbr11#添加成對網卡[root@node1~]#iplinksetvethbr11up#啟動vethbr11[root@node1~]#iplinksetvethbr1netnsr1#移動vethbr1到r1下[root@node1~]#ipnetnsexecr1iplinksetvethbr1up#啟動vethbr1[root@node1~]#brctladdifbr1veth11#網橋br1綁定veth11[root@node1~]#brctladdifbroutvethbr11#網橋brout綁定vethbr11[root@node1~]#brctladdifbroutens161#網橋brout綁定ens161③創建虛擬路由的IP地址和網關配置虛擬路由r1連接內部網絡的網卡IP地址為192.168.1.1/24，為虛擬機提供網關，配置連接外部網絡的網卡IP地址為192.168.200.10/24，將網關設置為vmnet8網絡的網關地址192.168.200.2，配置如下。[root@node1~]#ipnetnsexecr1bash#進入虛擬路由r1[root@node1~]#ipaddradd192.168.1.1/24devveth1#設置內網IP地址[root@node1~]#ipaddradd192.168.200.10/24devvethbr1#設置外網IP地址[root@node1~]#routeadddefaultgw192.168.200.2#設置默認路由（網關）（3）配置Iptables規則實現內外網絡互聯虛擬機的數據到達路由器r1后，路由器需要將進行源地址轉換，實現虛擬機訪問外部網絡，當外部主機訪問虛擬機時，需要在路由器的外部網絡接口上增加IP地址，然后配置Iptables目的地址轉換實現外部主機訪問內部網絡的虛擬機，配置如下。[root@node1~]#ipnetnsexecr1bash進入虛擬路由r1[root@node1~]#iptables-tnat-APOSTROUTING-s192.168.1.0/24-jSNAT--to192.168.200.10#將來自192.168.1.0/24網絡的源地址轉換為192.168.200.10[root@no