利用主機端口轉發實現對QEMU虛擬機的訪問

正文：

命令

選項：hostfwd

詳細描述：hostfwd=[tcp|udp]:[hostaddr]:hostport-[guestaddr]:guestport

該選項可以把虛擬機端口guest_port映射到主機端口host_port上，從而實現外部對虛擬機的訪問，只要該網絡數據傳輸是基於TCP或UDP協議的。

和流行的OVS(openvswitch)或者基於橋接（bridge）的DHCP動態地址分配相比，該方法的最大優點就是簡單快捷，只需要在qemu啟動虛擬機時額外添加一個選項即可。

在日常調試中，比如需要向（從）虛擬機傳輸數據時，該方法會非常有效。hostaddr和guestaddr選項是可選的，當主機或者虛擬機有多個IP地址，而用戶只期望對其中一個IP實現轉發時，才需要指定。

如果不指定hostaddr或guestaddr，則主機或虛擬機會默認綁定在0.0.0.0，即對所有IP地址都實現轉發。該選項在一個命令中可以指定多次，從而實現對多個端口的轉發。

實例

當我們以如下命令簡單啟動一個虛擬機時，它是不會被分配IP地址的：

qemu-system-s390x -s -M s390-ccw-virtio -enable-kvm -m 1G -smp 4,sockets=4,cores=1,threads=1 -nographic \

-drive file=/home/mc/zlinux-new.qcow2,if=none,id=drive-virtio-disk0,format=qcow2 \

-device virtio-blk-ccw,scsi=off,devno=fe.0.0001,drive=drive-virtio-disk0,id=virtio-disk0,bootindex=1 \

-net user -net nic -monitor telnet:localhost:7777,server,nowait

在虛擬機上執行ifconfig顯示如下結果：

[root@localhost ~]# ifconfig

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536

        inet 127.0.0.1  netmask 255.0.0.0

        inet6 ::1  prefixlen 128  scopeid 0x10<host>

        loop  txqueuelen 1  (Local Loopback)

        RX packets 0  bytes 0 (0.0 B)

        RX errors 0  dropped 0  overruns 0  frame 0

        TX packets 0  bytes 0 (0.0 B)

        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

這時候主機和虛擬機之間沒辦法直接傳送數據。

利用hostfwd選項可以解決這個問題。下面的命令把虛擬機的22端口映射到主機的2222端口，這樣我們就可以通過訪問主機的2222端口來實現對虛擬機的登錄和其他訪問，

而不需要給虛擬機配置任何橋接或分配IP地址。

qemu-system-s390x -s -M s390-ccw-virtio -enable-kvm -m 1G -smp 4,sockets=4,cores=1,threads=1 -nographic \

-drive file=/home/mc/zlinux-new.qcow2,if=none,id=drive-virtio-disk0,format=qcow2 \

-device virtio-blk-ccw,scsi=off,devno=fe.0.0001,drive=drive-virtio-disk0,id=virtio-disk0,bootindex=1 \

-net user,hostfwd=tcp::2222-:22 -net nic -monitor telnet:localhost:7777,server,nowait

如果虛擬機鏡像本身不帶ssh server服務，那么在上面安裝它，比如openssh-server，啟動后可以看到端口22在監聽狀態：

[root@localhost ~]# netstat -anp|grep :22

tcp        0      0 0.0.0.0:22       0.0.0.0:*        LISTEN      2905/sshd

tcp6       0      0 :::22        :::*                 LISTEN   2905/sshd

這時候，從外部（包括主機）是無法直接登錄虛擬機的。但通過指定端口就可以，作者測試的主機IP是10.8.0.20，則登錄命令如下：

ssh -p 2222 10.8.0.20

如果主機設置了防火牆，還需要執行以下命令打開該端口：

iptables -I INPUT -p tcp --dport 2222 -j ACCEPT

為什么會有這樣的效果呢？我們可以發現qemu在啟動虛擬機時，已經在主機上綁定監聽轉發端口2222了。

[root@host ~]# netstat -anp|grep :2222

tcp        0      0 0.0.0.0:2222   0.0.0.0:*        LISTEN      53320/qemu-system-s

不僅是ssh，其他任何在虛擬機上監聽22端口的服務都可以用該方法實現訪問，比如scp：

scp -P 2222 foo 10.8.0.20:~/

該命令把本機的文件foo拷貝到虛擬機的用戶目錄下。

hostfwd選項的主要局限是只能實現外部對虛擬機的訪問，而不能反過來，實現虛擬機對外網的訪問。

參考資料： http://qemu.weilnetz.de/qemu-doc.html

作 者：郝慶豐

郵  箱：haoqfATcn.ibm.com(替換AT為@)

內容聲明：本文僅代表作者的個人觀點，與IBM立場、策略和觀點無關。同時代碼來源於個人實驗，僅供參考。如果您對我們的話題感興趣，請通過電子郵箱聯系我們。

 

本文出處：https://www.ibm.com/developerworks/community/blogs/8b3f8d48-b83c-4bcb-a34e-2b9c8c13ab1f/entry/20170104?lang=en