Download PDF
Download page Режим "Сетевой мост".
Режим "Сетевой мост"
В данном сетевом режиме трафик ВМ напрямую передается через существующий сетевой мост на серверах виртуализации. При этом устанавливается один из режимов фильтрации трафика, применяемой в сети:
- режим "сетевой мост без фильтрации" (Bridged);
- режим "сетевой мост с группами безопасности" (Bridged with Security Groups, далее по тексту — Security Group) — устанавливаются правила iptables для внедрения правил групп безопасности;
- режим "сетевой мост с правилами ebtables" (Bridged with ebtables isolation, далее по тексту — Ebtables VLAN) — тоже что и для режима Security Group, но с дополнительными правилами ebtables для изоляции (L2) всех виртуальных сетей.
Особенности и ограничения
При фильтрации трафика необходимо учитывать следующее:
- в режимах Bridged и Security Group можно добавлять тегированные сетевые интерфейсы для обеспечения сетевой изоляции. Данный режим является рекомендуемой стратегией развертывания в работающих системах (не тестовых);
- режим Ebtables VLAN предназначен для небольших сред без соответствующей аппаратной поддержки для внедрения сетей VLANS. Данный режим ограничен сетями с длиной префикса 24 бита (/24) и IP-адреса не могут перекрываться в виртуальных сетях. Рекомендуется только для целей тестирования.
По умолчанию при удалении ВМ на сервере виртуализации также будет удален существующий сетевой мост, если он больше не используется ни одной ВМ.
Для того чтобы незадействованный сетевой мост не удалялся, необходимо в конфигурационном файле /var/lib/one/remotes/etc/vnm/OpenNebulaNetwork.conf
установить следующее значение параметра keep_empty_bridge
:
:keep_empty_bridge: true
Настройка сервера виртуализации
Для настройки данного сетевого режима необходимо выполнение следующих требований:
- на серверы виртуализации необходимо установить пакет
bridge-utils
; - если планируется использовать режим фильтрации Ebtables VLAN, на серверы виртуализации необходимо установить пакет
ebtables
, который по умолчанию обеспечивает изоляцию сети.
На сервере виртуализации необходимо создать сетевой мост для каждой сети, в которой будут работать виртуальные машины. При этом следует использовать одно имя сети на всех серверах виртуализации.
Пример
Содержание файла /etc/network/interfaces c настройками сетевого моста:
auto eth0
iface eth0 inet manual
auto br0
iface br0 inet static
bridge_ports eth0
address 172.16.1.20
netmask 255.255.255.0
gateway 172.16.1.1
Настройка сервера управления
Режим Сетевой мост не требует специальных настроек.
Создание сети
Действия по созданию виртуальных сетей в ПК СВ выполняются под учетной записью администратора ПК СВ.
Для создания сети необходимо указать параметры физической сети, приведенные в таблице:
Параметр | Значение | Обязательный |
---|---|---|
NAME | Имя сети | ДА |
VN_MAD |
| ДА |
BRIDGE | Имя сетевого моста на серверах виртуализации | ДА |
Примеры
- Создание сети с использованием конфигурационного файла. Будет создана сеть, работающая в режиме сетевой мост с использованием режима фильтрации Security Group:
- создать файл
new-net.conf
со следующим содержанием:# параметры физической сети NAME = "bridged_net" VN_MAD = "fw" BRIDGE = "vbr1" # доступное адресное пространство AR=[TYPE = "IP4", IP = "172.16.1.100", SIZE = "100" ] # параметры контекстуализации NETWORK_ADDRESS = "172.16.1.0" NETWORK_MASK = "255.255.255.0" DNS = "172.16.1.1" GATEWAY = "172.16.1.1"
CODE - выполнить команду:onevnet create new-net.confПример вывода после выполнения команды:
ID: 1
CODE
- создать файл
- Правила
ebtables
, которые создаются при необходимости отладки настройки:# Игнорировать пакеты, которые не соответствуют MAC-адресу сети -s ! <mac_address>/ff:ff:ff:ff:ff:0 -o <tap_device> -j DROP # Предотвратить MAC-спуфинг -s ! <mac_address> -i <tap_device> -j DROP
CODE