根據預設,系統會允許巢狀虛擬化,因此除非有人修改巢狀虛擬化的限制條件,否則您在機構、資料夾或專案中建立巢狀 VM 前,不必進行任何變更。如果您的專案不屬於任何機構,系統預設會允許巢狀虛擬化,且您無法變更限制。如要瞭解如何修改限制條件,以決定是否可以建立巢狀 VM,請參閱「管理巢狀虛擬化限制條件」。
本文說明如何建立各種類型的第 2 層 (L2) 虛擬機器 (VM) 執行個體。建立巢狀 VM 前,您必須建立已啟用巢狀虛擬化的 L1 VM。如需 L1 和 L2 VM 的說明,請參閱巢狀虛擬化總覽。
建立啟用巢狀虛擬化的 L1 VM 後,您可以執行下列任一操作:
- 建立可存取外部網路的 L2 VM
- 建立 L2 VM,並透過私人網路橋接至 L1 VM
- 建立可從 L1 VM 外部存取網路的 L2 VM
事前準備
-
如果尚未設定,請先設定驗證機制。驗證是指驗證身分,以便存取 Google Cloud 服務和 API 的程序。如要在本機開發環境中執行程式碼或範例,您可以選取下列任一選項,向 Compute Engine 進行驗證:
Select the tab for how you plan to use the samples on this page:
gcloud
-
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud initIf you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
- Set a default region and zone.
REST
To use the REST API samples on this page in a local development environment, you use the credentials you provide to the gcloud CLI.
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud initIf you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
For more information, see Authenticate for using REST in the Google Cloud authentication documentation.
-
建立可存取外部網路的 L2 VM
請按照下列程序建立可存取外部網路的 L2 VM。這個程序會使用 qemu-system-x86_64 啟動 L2 VM。如果您使用其他程序建立 L2 VM 時遇到問題,請先使用這個程序重現問題,然後再與支援團隊聯絡。
使用
gcloud compute ssh指令連線至 VM:gcloud compute ssh VM_NAME
將
VM_NAME替換為要連線的 VM 名稱。安裝最新的
qemu-kvm套件:sudo apt update && sudo apt install qemu-kvm -y
下載 QEMU 相容的 OS 映像檔,用於 L2 VM。
使用下列指令啟動 L2 VM。畫面出現系統提示時,使用
user: root和password: root登入。sudo qemu-system-x86_64 -enable-kvm -hda IMAGE_NAME -m 512 -curses
將
IMAGE_NAME替換為要用於 L2 VM 的 QEMU 相容作業系統映像檔名稱。測試 L2 VM 是否具有外部存取權:
user@nested-vm:~$ host google.com
建立 L2 VM,並透過私人網路橋接至 L1 VM
請按照下列程序,建立具有私人網路橋接至先前建立的 L1 VM 的 L2 VM。如要瞭解如何變更虛擬私有雲網路的預設最大傳輸單位 (MTU),請參閱最大傳輸單位總覽。
使用
gcloud compute ssh指令連線至 VM:gcloud compute ssh VM_NAME
將
VM_NAME替換為要連線的 VM 名稱。安裝建立私人橋接點所需的套件:
sudo apt update && sudo apt install uml-utilities qemu-kvm bridge-utils virtinst libvirt-daemon-system libvirt-clients -y
啟用與
libvirt套件一同隨附的預設網路:sudo virsh net-start default
執行下列指令,確認您有
virbr0橋接:ip addr
輸出結果會與下列內容相似:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000 link/ether 42:01:0a:80:00:15 brd ff:ff:ff:ff:ff:ff inet 10.128.0.21/32 brd 10.128.0.21 scope global eth0 valid_lft forever preferred_lft forever inet6 fe80::4001:aff:fe80:15/64 scope link valid_lft forever preferred_lft forever 3: virbr0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 1000 link/ether 52:54:00:8c:a6:a1 brd ff:ff:ff:ff:ff:ff inet 192.168.122.1/24 brd 192.168.122.255 scope global virbr0 valid_lft forever preferred_lft forever 4: virbr0-nic: <BROADCAST,MULTICAST> mtu 1500 qdisc pfifo_fast master virbr0 state DOWN group default qlen 1000 link/ether 52:54:00:8c:a6:a1 brd ff:ff:ff:ff:ff:ff建立
tap介面,以從 L1 VM 前往 L2 VM:sudo tunctl -t tap0 sudo ifconfig tap0 up
將
tap介面綁定至私人橋接:sudo brctl addif virbr0 tap0
執行下列指令,驗證橋接網路的設定:
sudo brctl show
輸出結果會與下列內容相似:
bridge name bridge id STP enabled interfaces virbr0 8000.5254008ca6a1 yes tap0 virbr0-nic下載 QEMU 相容的 OS 映像檔,用於 L2 VM。
執行
screen,然後在歡迎提示中按下 Enter 鍵:screen
使用下列指令啟動 L2 VM。畫面出現系統提示時,使用
user: root和password: root登入。sudo qemu-system-x86_64 -enable-kvm -hda IMAGE_NAME -m 512 -net nic -net tap,ifname=tap0,script=no -curses
將
IMAGE_NAME替換為要用於 L2 VM 的 QEMU 相容作業系統映像檔名稱。在 L2 VM 上,執行
ip addr show確認 VM 在virbr0空間中具有位址,例如192.168.122.89:user@nested-vm:~$ ip addr在通訊埠
8000上啟動預留位置網路伺服器:user@nested-vm:~$ python -m http.server按下
Ctrl+A和Ctrl+D卸離screen工作階段。測試 L1 VM 是否能連線偵測 L2 VM,請將下列 IP 位址替換為 L2 VM 的 IP 位址:
curl 192.168.122.89:8000
輸出結果會與下列內容相似:
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"><html> <title>Directory listing for /</title> <body> <h2>Directory listing for /</h2> <hr> <ol> <li><a href=".aptitude/">.aptitude/</a> <li><a href=".bashrc">.bashrc</a> <li><a href=".profile">.profile</a> </ol> <hr> </body> </html>
建立可從 L1 VM 外部存取網路的 L2 VM
您可以設定具有別名 IP 的 L2 VM,讓 L1 VM 以外的 VM 能夠存取 L2 VM。請按照下列程序,透過別名 IP 從先前建立的 L1 VM 外部建立具有網路存取權的 L2 VM。如要瞭解如何建立別名 IP 位址,請參閱「設定別名 IP 範圍」。
以下程序假設先前已建立名為 subnet1 的子網路。如果您已有名稱不同的子網路,請將 subnet1 替換為子網路名稱,或是建立名為 subnet1 的新子網路。
建立已啟用巢狀虛擬化的 L1 VM,並納入別名 IP 範圍和 HTTP/HTTPS 流量支援:
gcloud
gcloud compute instances create VM_NAME --enable-nested-virtualization \ --tags http-server,https-server --can-ip-forward \ --min-cpu-platform "Intel Haswell" \ --network-interface subnet=subnet1,aliases=/30將
VM_NAME替換為 L1 VM 的名稱。REST
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances { ... "name": VM_NAME, "tags": { "items": [ http-server,https-server ], }, "canIpForward": true, "networkInterfaces": [ { "subnetwork": "subnet1", "aliasIpRanges": [ { "ipCidrRange": "/30" } ], } ], "minCpuPlatform": "Intel Haswell", "advancedMachineFeatures": { "enableNestedVirtualization": true }, ... }更改下列內容:
PROJECT_ID:專案 IDZONE:建立 VM 的可用區VM_NAME:VM 名稱
使用
gcloud compute ssh指令連線至 VM。如果無法順利連線至 VM,請嘗試重設 VM 或修改防火牆規則。gcloud compute ssh VM_NAME
將
VM_NAME替換為要連線的 VM 名稱。更新 VM 並安裝必要套件:
sudo apt update && sudo apt install uml-utilities qemu-kvm bridge-utils virtinst libvirt-daemon-system libvirt-clients -y
啟用與
libvirt套件一同隨附的預設網路:sudo virsh net-start default
執行下列指令,確認您有
virbr0橋接:user@nested-vm:~$ ip addr確認輸出內容如下所示:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000 link/ether 42:01:0a:80:00:15 brd ff:ff:ff:ff:ff:ff inet 10.128.0.21/32 brd 10.128.0.21 scope global eth0 valid_lft forever preferred_lft forever inet6 fe80::4001:aff:fe80:15/64 scope link valid_lft forever preferred_lft forever 3: virbr0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 1000 link/ether 52:54:00:8c:a6:a1 brd ff:ff:ff:ff:ff:ff inet 192.168.122.1/24 brd 192.168.122.255 scope global virbr0 valid_lft forever preferred_lft forever 4: virbr0-nic: <BROADCAST,MULTICAST> mtu 1500 qdisc pfifo_fast master virbr0 state DOWN group default qlen 1000 link/ether 52:54:00:8c:a6:a1 brd ff:ff:ff:ff:ff:ff建立
tap介面,以從 L1 VM 前往 L2 VM:sudo tunctl -t tap0 sudo ifconfig tap0 up
將
tap介面綁定至私人橋接:sudo brctl addif virbr0 tap0
執行下列指令,驗證橋接網路的設定:
sudo brctl show
確認輸出內容如下所示:
bridge name bridge id STP enabled interfaces virbr0 8000.5254008ca6a1 yes tap0 virbr0-nic下載 QEMU 相容的 OS 映像檔,用於 L2 VM。
執行
screen,然後在歡迎提示中按下 Enter 鍵:screen
使用下列指令啟動巢狀 VM。畫面出現系統提示時,使用
user: root和password: root登入。sudo qemu-system-x86_64 -enable-kvm -hda IMAGE_NAME -m 512 -net nic -net tap,ifname=tap0,script=no -curses
將
IMAGE_NAME替換為要用於 L2 VM 的 QEMU 相容作業系統映像檔名稱。在 L2 VM 上,執行
ip addr確認 L2 VM 在 virbr0 空間中具有位址,例如192.168.122.89:user@nested-vm:~$ ip addr在通訊埠
8000上啟動預留位置網路伺服器:user@nested-vm:~$ python -m http.server按下
Ctrl+A和Ctrl+D卸離screen工作階段。測試 L1 VM 是否可以連線偵測 L2 VM,請將下方的 IP 位址替換為 L2 VM 的 IP 位址:
curl 192.168.122.89:8000
確認 L2 VM 的回應是否類似下列內容:
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"><html> <title>Directory listing for /</title> <body> <h2>Directory listing for /</h2> <hr> <ol> <li><a href=".aptitude/">.aptitude/</a> <li><a href=".bashrc">.bashrc</a> <li><a href=".profile">.profile</a> </ol> <hr> </body> </html>請在 L1 VM 上設定
iptables,允許從 L1 VM 轉寄至 L2 VM。對於在這些操作說明中使用的 L2 OS 映像檔,您必須清除 IP 表格:sudo iptables -F
判斷 L1 VM 的別名 IP:
ip route show table local
確認輸出結果與下列內容相似:在本範例中,有兩個 IP 位址與 L2 VM 的
eth0乙太網路裝置相關。第一個是10.128.0.2,是 L2 VM 的主要 IP 位址,由sudo ifconfig -a傳回。第二個是10.128.0.13,為 L2 VM 的別名 IP 位址。local 10.128.0.2 dev eth0 proto kernel scope host src 10.128.0.2 broadcast 10.128.0.2 dev eth0 proto kernel scope link src 10.128.0.2 local 10.128.0.13/30 dev eth0 proto 66 scope host broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1 local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1 local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1 broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1 broadcast 192.168.122.0 dev virbr0 proto kernel scope link src 192.168.122.1 linkdown local 192.168.122.1 dev virbr0 proto kernel scope host src 192.168.122.1 broadcast 192.168.122.255 dev virbr0 proto kernel scope link src 192.168.122.1 linkdown執行下列指令,將流量從
10.128.0.13範例別名 IP 轉送至 L2 VM 的192.168.122.89範例 IP:echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward sudo iptables -t nat -A PREROUTING -d 10.128.0.13 -j DNAT --to-destination 192.168.122.89 sudo iptables -t nat -A POSTROUTING -s 192.168.122.89 -j MASQUERADE sudo iptables -A INPUT -p udp -j ACCEPT sudo iptables -A FORWARD -p tcp -j ACCEPT sudo iptables -A OUTPUT -p tcp -j ACCEPT sudo iptables -A OUTPUT -p udp -j ACCEPT
如要瞭解如何排解
iptables的問題,請參閱「iptables未轉送流量」。如要從 L1 VM 外部驗證 L2 VM 存取權,請登入與 L1 VM 位於同個網路的另一部 VM,並向別名 IP 發出
curl要求,將下列 IP 位址替換為 L2 VM 的別名 IP:user@another-vm:~$ curl 10.128.0.13:8000確認
curl回應是否類似以下內容:<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"><html> <title>Directory listing for /</title> <body> <h2>Directory listing for /</h2> <hr> <ol> <li><a href=".aptitude/">.aptitude/</a> <li><a href=".bashrc">.bashrc</a> <li><a href=".profile">.profile</a> </ol> <hr> </body> </html>