KVM桥接网络怎么配置才能让虚拟机正常上网？

在虚拟化技术领域,KVM（Kernel-based Virtual Machine）凭借其高性能、稳定性和开源特性，已成为Linux服务器上主流的虚拟化方案，要让KVM虚拟机（VM）能够与外部网络顺畅通信，网络配置是至关重要的一环，桥接网络模式是最常用且功能最强大的配置方式，它能让虚拟机像一台独立的物理机一样存在于局域网中，拥有自己的IP地址，并直接与网络中的其他设备通信。

理解桥接网络的核心概念

在深入配置之前,我们首先需要理解桥接网络的工作原理，想象一下，您的宿主机有一张物理网卡（eth0 或 ens33），它连接到您的物理交换机，桥接网络的核心思想是创建一个虚拟的网桥设备（br0），这个虚拟网桥就像一个软件层面的网络交换机。

配置完成后,物理网卡不再直接持有IP地址，而是作为这个虚拟网桥的一个“端口”，负责将数据包转发到物理网络，每个虚拟机的虚拟网卡（vnet0, vnet1…）也会连接到这个虚拟网桥上，这样一来，物理网卡、所有虚拟机的虚拟网卡都处于同一个“二层”网络中，实现了网络的互联互通。

其数据流向可以简化为：虚拟机 -> vnetX -> br0 -> 物理网卡 -> 物理交换机 -> 外部网络，这种模式的优势在于性能损耗小，配置灵活，虚拟机对外部网络完全透明。

桥接网络配置的详细步骤

我们将以主流的Linux发行版（如CentOS/RHEL/Fedora和Ubuntu/Debian）为例，介绍如何使用nmcli（NetworkManager命令行工具）来配置桥接网络，这是目前推荐的最稳定、最不易出错的方法。

第一步：准备工作与信息确认

在开始之前,请确保您已安装KVM相关组件（qemu-kvm, libvirt-daemon, bridge-utils等），我们需要确认宿主机的物理网卡名称和当前网络配置。

打开终端,执行以下命令：

ip addr show

您会看到类似以下的输出,请记下您的物理网卡名称（此处以 ens33 为例）及其当前的IP配置信息（如果是DHCP获取的，也请留意）。

2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:0c:29:xx:xx:xx brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.100/24 brd 192.168.1.255 scope global dynamic noprefixroute ens33
       valid_lft 86394sec preferred_lft 86394sec
    inet6 fe80::20c:29ff:feXX:XXXX/64 scope link
       valid_lft forever preferred_lft forever

第二步：使用nmcli创建并配置网桥

我们将通过一系列nmcli命令来完成配置，这个过程会将原来ens33网卡的IP地址“转移”到新创建的br0网桥上。

1. 创建网桥设备 br0

   sudo nmcli con add type bridge ifname br0

   此命令创建了一个名为br0的网桥连接。

2. 将物理网卡 ens33 作为从属添加到网桥

   sudo nmcli con add type ethernet slave-type bridge ifname ens33 master br0

   此命令将ens33配置为br0的一个端口。

   

3. 为网桥 br0 配置IP地址
   这一步根据您的网络环境选择一种方式。

   方式A：使用DHCP自动获取IP（推荐用于测试或家庭网络）

   sudo nmcli con modify br0 ipv4.method auto

   方式B：使用静态IP地址（推荐用于服务器环境）
   假设我们要将IP地址设置为 168.1.150，网关为 168.1.1，DNS为 8.8.8。

   sudo nmcli con modify br0 ipv4.addresses 192.168.1.150/24
   sudo nmcli con modify br0 ipv4.gateway 192.168.1.1
   sudo nmcli con modify br0 ipv4.dns "8.8.8.8,8.8.4.4"
   sudo nmcli con modify br0 ipv4.method manual

4. 启动并应用配置
   现在我们需要关闭原来的物理网卡连接，并启动新的网桥连接，假设您原来的连接名也是ens33（可通过 nmcli con show 查看）。

   sudo nmcli con down ens33
   sudo nmcli con up bridge-br0

第三步：验证桥接配置

配置完成后,验证其是否生效至关重要。

1. 检查网络接口状态

   ip addr show br0

   您应该能看到br0已经获取到了您之前配置的IP地址，而ens33接口下则没有IP地址了。

2. 检查网桥信息

   brctl show

   输出会显示br0网桥，并且ens33已经作为其接口之一列出，此时如果已有虚拟机在运行并连接到此网桥，它们的vnetX接口也会出现在这里。

   bridge name     bridge id               STP enabled     interfaces
   br0             8000.000c29xxxxxx       no              ens33

至此,宿主机端的桥接网络配置已经完成，宿主机本身可以通过br0访问网络，为虚拟机连接做好了准备。

第四步：将虚拟机连接到网桥

我们需要在创建或修改虚拟机时,指定其网络连接到我们刚刚创建的br0网桥。

使用 virt-manager (图形界面):

1. 打开virt-manager，双击要配置的虚拟机。
2. 点击工具栏上的“灯泡”图标（显示/隐藏虚拟硬件详情）。
3. 在左侧硬件列表中选择“NIC”（网络适配器）。
4. 在右侧的“网络源”下拉菜单中，选择“桥接网络”，然后在“设备名称”中选择或输入 br0。
5. 点击“应用”，然后启动或重启虚拟机。

使用 virsh (命令行):

如果您习惯使用命令行,可以通过编辑虚拟机的XML配置文件来实现。

virsh edit <您的虚拟机名称>

找到<interface>部分，将其修改为如下内容：

<interface type='bridge'>
  <mac address='52:54:00:xx:xx:xx'/>
  <source bridge='br0'/>
  <model type='virtio'/>
</interface>

保存并退出后,虚拟机在下次启动时就会自动连接到br0网桥，进入虚拟机系统后，它就可以像物理机一样通过DHCP获取IP或配置静态IP，并与局域网内的其他设备自由通信了。

相关问答FAQs

Q1: KVM的桥接模式和NAT模式有什么根本区别？我应该选择哪一种？

A: 桥接模式和NAT模式是KVM中最常见的两种网络模式，它们的根本区别在于虚拟机在网络中的“身份”和通信方式。

选择建议： 如果您希望虚拟机成为网络中一个功能完备的成员，特别是需要对外提供服务时，强烈推荐使用桥接模式，如果只是进行简单的网络访问测试或在不改变现有网络结构的情况下让虚拟机上网，NAT模式是一个更简单的选择。

Q2: 我已经按照步骤配置了桥接，但虚拟机启动后无法获取IP地址或无法ping通网关，可能是什么原因？

A: 这是一个常见的排错问题，可能的原因有多种，可以按以下顺序逐一排查：

1. 宿主机防火墙： 这是最常见的原因，Linux的防火墙（如firewalld或ufw）可能会阻止虚拟机的网络流量，对于firewalld，需要确保网桥接口所在的区域（通常是trusted或default）允许流量通过，可以尝试临时关闭防火墙进行测试：sudo systemctl stop firewalld，如果测试成功，说明是防火墙规则问题，需要为网桥接口配置正确的区域和规则。
2. 物理交换机端口安全： 在一些企业网络环境中，交换机端口可能配置了端口安全功能，只允许特定MAC地址的设备接入，当虚拟机的虚拟网卡（vnetX）连接时，其MAC地址对于交换机是未知的，可能会被阻止，请联系网络管理员检查交换机端口配置。
3. IP地址冲突： 如果您为虚拟机配置了静态IP，请确保该IP地址在局域网内没有被其他设备占用。
4. DHCP服务器问题： 如果使用DHCP，请确认局域网内的DHCP服务器工作正常，并且有足够的可用IP地址分配给新的虚拟机。
5. 宿主机网桥配置错误： 再次使用brctl show和ip addr show br0命令检查网桥状态，确保物理网卡已正确加入网桥，且网桥本身拥有正确的IP和网关，有时需要重启宿主机的NetworkManager服务（sudo systemctl restart NetworkManager）来刷新配置。