kvm虚拟机paused，kvm虚拟机ping不通外网

***：KVM虚拟机出现paused状态且ping不通外网。这可能是由多种原因导致的，例如虚拟机网络配置错误，包括网关、DNS设置等方面的问题；也可能是宿主机网络相关的限制或故障影响了虚拟机的网络连接；KVM虚拟机自身的运行状态异常，如某些服务未正常启动或者资源分配问题导致处于暂停状态并无法访问外网。

本文目录导读：

1. 网络配置方面
2. 防火墙设置
3. DNS设置
4. 其他可能的问题

《解决KVM虚拟机Ping不通外网问题》

在使用KVM（Kernel - based Virtual Machine）创建和管理虚拟机的过程中，可能会遇到虚拟机处于运行状态（非paused状态）但却ping不通外网的情况，这一问题可能由多种因素导致，下面我们将详细探讨可能的原因及相应的解决方法。

网络配置方面

1、虚拟网络模式

桥接模式（Bridge Mode）

- 如果采用桥接模式，虚拟机是直接连接到物理网络的，首先要检查物理网络接口是否正常工作，在宿主机上，使用ifconfig（在较新的系统中可能是ip addr show）命令查看物理网络接口（如eth0）的状态，如果物理接口没有获取到正确的IP地址或者处于down状态，虚拟机将无法通过该接口连接到外网。

- 确保在宿主机上安装了必要的桥接工具，如bridge - utils，然后检查桥接配置文件（通常在/etc/network/interfaces或相关的网络配置文件中，具体取决于操作系统），在Debian系统中，一个简单的桥接配置可能如下：

auto br0
iface br0 inet dhcp
    bridge_ports eth0

这里br0是创建的桥接接口，它桥接了物理接口eth0，如果配置有误，可能导致虚拟机无法正确获取网络连接。

NAT模式（Network Address Translation）

- 在NAT模式下，虚拟机通过宿主机的网络地址转换来访问外网，首先要检查宿主机上的NAT服务是否正常运行，对于基于iptables的系统，查看iptables规则是否正确设置，应该有允许虚拟机流量通过的规则，类似：

iptables -t nat -A POSTROUTING -s 192.168.122.0/24 -o eth0 -j MASQUERADE

这里假设虚拟机所在的网络是192.168.122.0/24，eth0是宿主机的外出网络接口，如果这条规则缺失或者被错误修改，虚拟机将无法进行NAT转换从而无法访问外网。

- 还要检查宿主机上的虚拟网络设备（如virbr0在libvirt默认NAT配置下）是否正常工作，可以使用brctl show（如果安装了bridge - utils）查看virbr0的状态，确保它与虚拟机网络正确关联。

2、虚拟机内部网络配置

- 在虚拟机内部，网络配置必须正确，如果虚拟机使用的是静态IP地址，要确保IP地址、子网掩码、默认网关等设置正确，在Linux虚拟机中，网络配置文件（如/etc/sysconfig/network - scripts/ifcfg - eth0）中可能包含以下内容：

DEVICE=eth0
BOOTPROTO=static
IPADDR=192.168.122.100
NETMASK=254.254.254.0
GATEWAY=192.168.122.1

如果GATEWAY（网关）设置错误，虚拟机将不知道如何将数据包发送到外网，如果IPADDR与宿主机网络中的其他设备存在IP冲突，也会导致网络连接问题。

- 对于使用DHCP获取IP地址的虚拟机，要检查DHCP服务是否在宿主机或网络环境中正常工作，在KVM环境中，libvirt通常提供了一个内置的DHCP服务，可以查看libvirt的日志（通常在/var/log/libvirt/目录下）来排查DHCP相关的问题，例如是否有虚拟机请求IP地址但未得到正确响应的记录。

防火墙设置

1、宿主机防火墙

- 宿主机上的防火墙可能会阻止虚拟机的网络流量，如果宿主机使用的是iptables防火墙，要检查是否有规则阻止了虚拟机网络与外网之间的通信，可能存在一条默认拒绝所有转发流量的规则：

iptables -P FORWARD DROP

在这种情况下，需要添加允许虚拟机流量转发的规则，对于NAT模式下的虚拟机，可以添加如下规则：

iptables -A FORWARD -m state - -state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.122.0/24 -j ACCEPT

这里假设虚拟机所在网络是192.168.122.0/24，如果宿主机使用的是firewalld防火墙，也要进行类似的检查，可以使用firewall - cmd命令来管理firewalld规则，

firewall - cmd - -add - rich - rule='rule family="ipv4" source address="192.168.122.0/24" accept' - -permanent
firewall - cmd - -reload

2、虚拟机防火墙

- 虚拟机内部的防火墙也可能阻止ping等网络操作，在Linux虚拟机中，如果使用iptables防火墙，可能存在默认拒绝所有入站流量的规则。

iptables -P INPUT DROP

在这种情况下，需要添加允许ICMP（ping使用的协议）流量的规则：

iptables -A INPUT -p icmp - -icmp - type echo - request -j ACCEPT

如果虚拟机使用的是ufw（Uncomplicated Firewall）等其他防火墙工具，也要进行相应的配置检查。

DNS设置

1、宿主机DNS配置

- 如果虚拟机依赖宿主机进行DNS解析（例如在NAT模式下，虚拟机使用宿主机的DNS服务器），宿主机的DNS配置必须正确，在宿主机上，查看/etc/resolv.conf文件，确保其中包含有效的DNS服务器地址。

nameserver 8.8.8.8
nameserver 8.8.4.4

如果宿主机的DNS服务器地址不正确或者无法访问，虚拟机在尝试解析域名时将失败，从而可能导致看起来无法访问外网（虽然实际上可能只是域名解析问题）。

2、虚拟机DNS配置

- 在虚拟机内部，也要检查DNS配置，在Linux虚拟机中，/etc/resolv.conf文件同样是关键，如果虚拟机使用的是静态DNS配置，要确保地址正确，如果是通过DHCP获取DNS服务器地址，要检查DHCP是否正确提供了有效的DNS服务器地址，如果虚拟机内部的DNS配置错误，即使网络连接正常，也无法通过域名访问外网资源。

其他可能的问题

1、网络驱动问题

- 在虚拟机中，网络驱动可能存在问题，在某些情况下，虚拟机的网络驱动可能与宿主机的网络硬件或软件存在兼容性问题，对于KVM虚拟机，可以尝试更换网络设备模型，在创建虚拟机时，可以指定不同的网络设备模型，如virtio - net等。virtio - net是一种高性能的半虚拟化网络设备模型，在大多数情况下比默认的网络设备模型性能更好且兼容性更强。

- 要更换网络设备模型，可以在虚拟机的XML配置文件（通常位于/etc/libvirt/qemu/目录下）中修改<interface>部分，将原来的网络设备模型修改为virtio - net：

<interface type='network'>
    <mac address='52:54:00:12:34:56'/>
    <source network='default'/>
    <model type='virtio'/>
    <address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
</interface>

修改完成后，重启虚拟机使新的配置生效。

2、物理网络问题

- 虽然虚拟机是虚拟的网络环境，但也依赖于物理网络，如果物理网络中的路由器、交换机等设备存在故障或者配置错误，也会导致虚拟机无法访问外网，路由器上可能存在访问控制列表（ACL）阻止了虚拟机所在网络的流量，或者交换机端口的VLAN配置错误，导致虚拟机无法正确接入网络。

- 可以通过检查物理网络设备的状态指示灯、查看设备的日志（如果支持）以及进行网络连通性测试（如在宿主机上使用ping命令测试到路由器的连通性）来排查物理网络问题。

当KVM虚拟机ping不通外网时，需要从网络配置、防火墙设置、DNS设置以及其他可能的问题等多方面进行排查，通过仔细检查和正确的配置调整，通常可以解决虚拟机无法访问外网的问题。