libvirt折腾笔记

背景

最近在使用virt-manager创建KVM虚拟机时，遇到了一个让人头疼的问题：虚拟机使用默认的NAT网络模式，却无法访问外网，宿主机也无法正常访问虚拟机，但是虚拟机可以访问宿主机。

问题现象

• 虚拟机内部网络配置正确，能获取到IP地址（192.168.122.x）
• 宿主机能ping通虚拟机的IP，说明二层网络正常
• 虚拟机无法ping通外网（如8.8.8.8），也无法ping通宿主机网关（192.168.122.1）
• 宿主机上的iptables规则中，FORWARD链默认策略为DROP，且没有任何LIBVIRT开头的规则

原因分析

经过排查，发现问题出在Docker与libvirt的防火墙规则冲突上。

• 在同时安装了Docker和libvirtd的系统中，Docker启动时会操作iptables规则，可能会清除libvirt添加的NAT和转发规则。
• 新版libvirt默认使用nftables作为防火墙后端，而Docker仍使用传统的iptables。当Docker修改iptables时，不会感知libvirt的规则，导致libvirt规则丢失。
• 一旦FORWARD链的默认策略为DROP，所有需要宿主机转发的流量（包括虚拟机的网络访问）都会被丢弃，造成网络不通。

解决方案

最直接有效的方法是将libvirt的防火墙后端强制切换为iptables，让libvirt和Docker使用同一套规则管理工具，避免冲突。

步骤

1. 编辑libvirt网络配置文件（如不存在则新建）：

   sudo nano /etc/libvirt/network.conf

2. 添加以下配置：

   firewall_backend = "iptables"

3. 重启libvirtd服务：

   sudo systemctl restart libvirtd

4. 验证修复：

   • 查看iptables规则，应该出现LIBVIRT_INPUT、LIBVIRT_FORWARD等链，并且FORWARD链规则中包含了允许virbr0流量的条目。
   • 虚拟机应能正常上网，宿主机也能访问虚拟机。

验证结果

切换后端后，iptables规则恢复如下（部分）：

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
LIBVIRT_FORWARD  all  --  anywhere             anywhere
...
Chain LIBVIRT_FORWARD (1 references)
target     prot opt source               destination
ACCEPT     all  --  192.168.122.0/24     anywhere
ACCEPT     all  --  anywhere             192.168.122.0/24

FORWARD链策略变回ACCEPT，LIBVIRT规则出现，虚拟机网络恢复正常。

网络这块还是得学啊。