1. 概述

在內(nèi)網(wǎng)一臺物理機(jī)部署了kvm虛擬化環(huán)境。為了避免虛擬機(jī)的IP地址和內(nèi)網(wǎng)網(wǎng)段沖突，kvm采用的是NAT模式，而非橋接模式。因此在本地訪問kvm虛擬機(jī)時，必須用物理機(jī)來實(shí)現(xiàn)轉(zhuǎn)發(fā)，才能登錄到虛擬機(jī)。而kvm的轉(zhuǎn)發(fā)，需要使用Linux的iptables工具來實(shí)現(xiàn)

2. iptables創(chuàng)建規(guī)則

先創(chuàng)建虛擬機(jī)，比如創(chuàng)建一臺虛擬機(jī)node98，其ip地址是192.168.80.98，我想在本地訪問node98的22端口，是無法實(shí)現(xiàn)的。所以需要進(jìn)行以下操作：

iptables -t nat -A PREROUTING -p tcp --destination 192.168.212.93 --dport 2298 -j DNAT --to-destination 192.168.80.98:22
iptables -t nat -A POSTROUTING -p tcp --dport 22 -d 192.168.80.98 -j SNAT --to 192.168.212.93
iptables -D FORWARD 5 -t filter
iptables -D FORWARD 4 -t filter

上述使用iptables配置了物理機(jī)192.168.212.93到其內(nèi)部kvm虛擬機(jī)node98的22端口轉(zhuǎn)發(fā)。需要注意的是：

iptables -D FORWARD 5 -t filter
iptables -D FORWARD 4 -t filter

這兩條需要操作，否則轉(zhuǎn)發(fā)不成功，登錄失敗

3. 查看和清除

物理機(jī)創(chuàng)建的虛擬機(jī)多了，端口轉(zhuǎn)發(fā)規(guī)則多了起來。使用以下命令查看當(dāng)前的轉(zhuǎn)發(fā)規(guī)則

iptables -nL -v --line-numbers -t nat

會在Chain PREROUTING 和Chain POSTROUTING 看到對應(yīng)的條目。

清除當(dāng)前規(guī)則：

iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING

4. 一些別的問題

• 清理規(guī)則后，建議重啟libvirtd和虛擬機(jī)，否則會存在虛擬機(jī)無法ping通外網(wǎng)的情況
• 每次添加轉(zhuǎn)發(fā)規(guī)則時，應(yīng)該都需要執(zhí)行iptables -D FORWARD的操作，否則無法登錄
• 如果在虛擬機(jī)部署了Java開發(fā)環(huán)境，使用vscode遠(yuǎn)程開發(fā)時，配置Tomcat的端口轉(zhuǎn)發(fā)，不需要在物理機(jī)和虛擬機(jī)再操作，一切由vscode自行完成