利用主机端口转发实现对QEMU虚拟机的访问

作  者：郝庆丰

领 域：QEMU

适宜读者：QEMU及虚拟化相关开发人员

背景知识：虚拟化基础知识，QEMU基础知识

正文：

利用主机端口转发实现对QEMU虚拟机的访问

命令

选项：hostfwd

详细描述：hostfwd=[tcp|udp]:[hostaddr]:hostport-[guestaddr]:guestport

该选项可以把虚拟机端口guest_port映射到主机端口host_port上，从而实现外部对虚拟机的访问，只要该网络数据传输是基于TCP或UDP协议的。

和流行的OVS(openvswitch)或者基于桥接（bridge）的DHCP动态地址分配相比，该方法的最大优点就是简单快捷，只需要在qemu启动虚拟机时额外添加一个选项即可。

在日常调试中，比如需要向（从）虚拟机传输数据时，该方法会非常有效。hostaddr和guestaddr选项是可选的，当主机或者虚拟机有多个IP地址，而用户只期望对其中一个IP实现转发时，才需要指定。

如果不指定hostaddr或guestaddr，则主机或虚拟机会默认绑定在0.0.0.0，即对所有IP地址都实现转发。该选项在一个命令中可以指定多次，从而实现对多个端口的转发。

实例

当我们以如下命令简单启动一个虚拟机时，它是不会被分配IP地址的：

qemu-system-s390x -s -M s390-ccw-virtio -enable-kvm -m 1G -smp 4,sockets=4,cores=1,threads=1 -nographic \

-drive file=/home/mc/zlinux-new.qcow2,if=none,id=drive-virtio-disk0,format=qcow2 \

-device virtio-blk-ccw,scsi=off,devno=fe.0.0001,drive=drive-virtio-disk0,id=virtio-disk0,bootindex=1 \

-net user -net nic -monitor telnet:localhost:7777,server,nowait

在虚拟机上执行ifconfig显示如下结果：

[root@localhost ~]# ifconfig

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536

        inet 127.0.0.1  netmask 255.0.0.0

        inet6 ::1  prefixlen 128  scopeid 0x10<host>

        loop  txqueuelen 1  (Local Loopback)

        RX packets 0  bytes 0 (0.0 B)

        RX errors 0  dropped 0  overruns 0  frame 0

        TX packets 0  bytes 0 (0.0 B)

        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

这时候主机和虚拟机之间没办法直接传送数据。

利用hostfwd选项可以解决这个问题。下面的命令把虚拟机的22端口映射到主机的2222端口，这样我们就可以通过访问主机的2222端口来实现对虚拟机的登录和其他访问，

而不需要给虚拟机配置任何桥接或分配IP地址。

qemu-system-s390x -s -M s390-ccw-virtio -enable-kvm -m 1G -smp 4,sockets=4,cores=1,threads=1 -nographic \

-drive file=/home/mc/zlinux-new.qcow2,if=none,id=drive-virtio-disk0,format=qcow2 \

-device virtio-blk-ccw,scsi=off,devno=fe.0.0001,drive=drive-virtio-disk0,id=virtio-disk0,bootindex=1 \

-net user,hostfwd=tcp::2222-:22 -net nic -monitor telnet:localhost:7777,server,nowait

如果虚拟机镜像本身不带ssh server服务，那么在上面安装它，比如openssh-server，启动后可以看到端口22在监听状态：

[root@localhost ~]# netstat -anp|grep :22

tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      2905/sshd

tcp6       0      0 :::22                   :::*                    LISTEN      2905/sshd

这时候，从外部（包括主机）是无法直接登录虚拟机的。但通过指定端口就可以，作者测试的主机IP是10.8.0.20，则登录命令如下：

ssh -p 2222 10.8.0.20

如果主机设置了防火墙，还需要执行以下命令打开该端口：

iptables -I INPUT -p tcp --dport 2222 -j ACCEPT

为什么会有这样的效果呢？我们可以发现qemu在启动虚拟机时，已经在主机上绑定监听转发端口2222了。

[root@host ~]# netstat -anp|grep :2222

tcp        0      0 0.0.0.0:2222          0.0.0.0:*               LISTEN      53320/qemu-system-s

不仅是ssh，其他任何在虚拟机上监听22端口的服务都可以用该方法实现访问，比如scp：

scp -P 2222 foo 10.8.0.20:~/

该命令把本机的文件foo拷贝到虚拟机的用户目录下。

hostfwd选项的主要局限是只能实现外部对虚拟机的访问，而不能反过来，实现虚拟机对外网的访问。

参考资料： http://qemu.weilnetz.de/qemu-doc.html

https://www.ibm.com/developerworks/community/blogs/5144904d-5d75-45ed-9d2b-cf1754ee936a/entry/2017021?lang=es