В данном сетевом режиме трафик ВМ напрямую передается через существующий сетевой мост на серверах виртуализации. При этом устанавливается один из режимов фильтрации трафика, применяемой в сети:

  • режим "сетевой мост без фильтрации" (Bridged);
  • режим "сетевой мост с группами безопасности" (Bridged with Security Groups, далее по тексту — Security Group) — устанавливаются правила iptables для внедрения правил групп безопасности;
  • режим "сетевой мост с правилами ebtables" (Bridged with ebtables isolation, далее по тексту — Ebtables VLAN) — тоже что и для режима Security Group, но с дополнительными правилами ebtables для изоляции (L2) всех виртуальных сетей.

Особенности и ограничения

При фильтрации трафика необходимо учитывать следующее:

  • в режимах Bridged и Security Group можно добавлять тегированные сетевые интерфейсы для обеспечения сетевой изоляции. Данный режим является рекомендуемой стратегией развертывания в работающих системах (не тестовых);
  • режим Ebtables VLAN предназначен для небольших сред без соответствующей аппаратной поддержки для внедрения сетей VLANS. Данный режим ограничен сетями с длиной префикса 24 бита (/24) и IP-адреса не могут перекрываться в виртуальных сетях. Рекомендуется только для целей тестирования.

По умолчанию при удалении ВМ на сервере виртуализации также будет удален существующий сетевой мост, если он больше не используется ни одной ВМ.

Для того чтобы незадействованный сетевой мост не удалялся, необходимо в конфигурационном файле /var/lib/one/remotes/etc/vnm/OpenNebulaNetwork.conf установить следующее значение параметра keep_empty_bridge:

:keep_empty_bridge: true
CODE

Настройка сервера виртуализации

Для настройки данного сетевого режима необходимо выполнение следующих требований:

  • на серверы виртуализации необходимо установить пакет bridge-utils;
  • если планируется использовать режим фильтрации Ebtables VLAN, на серверы виртуализации необходимо установить пакет ebtables, который по умолчанию обеспечивает изоляцию сети.

На сервере виртуализации необходимо создать сетевой мост для каждой сети, в которой будут работать виртуальные машины. При этом следует использовать одно имя сети на всех серверах виртуализации.

Пример

Содержание файла /etc/network/interfaces c настройками сетевого моста:

auto eth0
iface eth0 inet manual
auto br0
iface br0 inet static
bridge_ports eth0
address 172.16.1.20
netmask 255.255.255.0
gateway 172.16.1.1
CODE


Настройка сервера управления

Режим Сетевой мост не требует специальных настроек.

Создание сети

Действия по созданию виртуальных сетей в ПК СВ выполняются под учетной записью администратора ПК СВ.

Для создания сети необходимо указать параметры физической сети, приведенные в таблице:

ПараметрЗначениеОбязательный
NAMEИмя сетиДА
VN_MAD
  • bridge — для режима без фильтрации;
  • fw — для режима фильтрации Security Group;
  • ebtables — для режима фильтрации Ebtables VLAN
ДА
BRIDGEИмя сетевого моста на серверах виртуализацииДА

Примеры

  1. Создание сети с использованием конфигурационного файла. Будет создана сеть, работающая в режиме сетевой мост с использованием режима фильтрации Security Group:
    1. создать файл new-net.conf со следующим содержанием:
      # параметры физической сети
NAME = "bridged_net"
VN_MAD = "fw"
BRIDGE = "vbr1"
# доступное адресное пространство
AR=[TYPE = "IP4", IP = "172.16.1.100", SIZE = "100" ]
# параметры контекстуализации
NETWORK_ADDRESS = "172.16.1.0"
NETWORK_MASK = "255.255.255.0"
DNS = "172.16.1.1"
GATEWAY = "172.16.1.1"
      CODE
    2. выполнить команду:
      onevnet create new-net.conf
      Пример вывода после выполнения команды:
      ID: 1
      CODE
  2. Правила ebtables, которые создаются при необходимости отладки настройки:
    # Игнорировать пакеты, которые не соответствуют MAC-адресу сети
-s ! <mac_address>/ff:ff:ff:ff:ff:0 -o <tap_device> -j DROP
# Предотвратить MAC-спуфинг
-s ! <mac_address> -i <tap_device> -j DROP
    CODE