Openstack Vlan モードでの分離とデータフロー

Openstack Vlan モードでの分離とデータフロー

1. 孤立

コンピュータ ネットワークは階層的に実装されており、異なるプロトコルが異なる階層で動作します。 OSI 階層モデルによれば、7 つの層があります。一般的に「分離」と呼ばれるものは、通常、「データ リンク層」とも呼ばれる第 2 層を指します。データリンク層のネットワークパケットは「フレーム」とも呼ばれます。よく話題になるネットワーク カードの MAC アドレスは、フレームのアドレスです。 MAC は実際には「メディア アクセス制御」の略語であり、データ リンク層のサブ層です。

なぜ第 2 層で分離を実行する必要があるのですか?第 2 層のフレームの一部にはブロードキャスト アドレスがあり、同じ第 2 層にあるすべてのデバイスがこれらのフレームを受信でき、また受信する必要があるためです。スイッチは一般に第 2 層で動作すると考えられており、これらのブロードキャスト パケットは転送される必要があるため、第 2 層は通常「ブロードキャスト ドメイン」と呼ばれます。

[[255524]]

仮想LAN

Openstack Neutorn の中核は、レイヤー 2 物理ネットワークの抽象化と管理です。テナント間のネットワーク分離を保証するために、さまざまなネットワーク分離テクノロジをサポートしています。 VLAN は主な分離ソリューションであり、それ自体がスイッチで広く使用されているレイヤー 2 分離テクノロジです。ただし、このソリューションにも一定の制限があります。まず、管理が比較的面倒で、物理的なスイッチの設定が必要になります。さらに、利用可能な VLAN の数も制限されています。 VLAN ID番号は4,000以上あります。各テナントに 1 つの VLAN が割り当てられていると仮定すると、最大 4,000 を超えるテナントをサポートできます。

3. 仮想ネットワークデバイス

図1: VLANモードのコンピューティングノードの仮想ネットワークトポロジ図

3.1 VLAN ネットワーク モードでは、コンピューティング ノード上の仮想ネットワーク デバイスは次のようになります。

(1)tapxxxデバイス

簡単に言うと、仮想マシンに提供される仮想ネットワーク カードであり、VM に対応するネットワーク ポートの vNIC です。仮想マシンのネットワーク機能は vNIC によって提供されます。ハイパーバイザーは、仮想マシンごとに 1 つ以上の vNIC を作成できます。

(2)qbrxxxデバイス

Linux ブリッジは、セキュリティ グループにサービスを提供してセキュリティを担当するものと簡単に理解できます。タップ デバイスではネットワーク ACL ルールを構成できないため、iptable セキュリティ グループ ポリシーを実装するために Linux ブリッジが追加されます。

(3)qvmxxxデバイス

Qvm は主に、VM から出力されるパケットに VLAN タグを追加します。

(4)plyxxxデバイス

Ovs ブリッジの主な機能は、ローカル MAC アドレスではないユニキャスト メッセージをフィルターすることです。

(5)pvixxxおよびpvoxxxデバイス

PLY はポリシー ブリッジです。 PLY と BR-INT は、パス ポートのペアによって接続されます。 PLY に接続されている端は PVI ポート、BR-INT に接続されている端は PVO ポートです。

(6)br-intデバイス

br-int は統合ブリッジであり、主にフレーム転送を担当します。

(7)int-brcpsおよびphy-brcpsデバイス

主に、br-int によって転送されたフレーム内の vlanid を変換する役割を担います。

(8) brcpsとtrunk0デバイス

br-cps は Ovs ブリッジです。 Trunk0 は、eth0 と eth1 (アクティブ バックアップ モード) で構成される結合です。パケットが物理ネットワークに入る場合、実際の物理ネットワーク カード trunk0 (eth2 および eth4) を通過する必要があります。したがって、trunk0 は br-1 にブリッジされ、リンク全体が開きます。

(9)タプウ装置

DHCP サービスのリスニング ポート。

3.2 コンピューティングノード上のネットワークデバイス情報

3.2.1 Linuxブリッジ情報

  1. Compute153:~ # virshリスト
  2. ID名前
  3. ----------------------------------------------------  
  4.  1 インスタンス 00000583 が実行中
  5.  2 インスタンス-000005df 実行中
  6.  3 インスタンス-00000603 実行中
  7.  4 インスタンス-00000654 実行中
  8.  5 インスタンス-0000068f 実行中
  9.  6 インスタンス-000006d7 実行中
  10.  7 インスタンス-0000070d 実行中
  11.  9 インスタンス-00000769 実行中
  12.  10 インスタンス-0000090d 実行中
  13.  11 インスタンス-00000a37 実行中

コンピューティング ノード Compute153 で 10 台の仮想マシンが起動されます。

  1. 計算153
  2.  :~
  3.  # brctl 表示
  4. ブリッジブリッジID STP対応インターフェース
  5. qbr7fc1e7d0-0c 8000.bee6e69f9457いいえqvm7fc1e7d0-0c
  6.                                                        タップ7fc1e7d0-0c
  7.  qbr931641ad-4b 8000.eaa1a27fffcbいいえqvm931641ad-4b
  8.                                                        タップ931641ad-4b
  9.  qbr963c4b38-70 8000.7635674ec1fcいいえqvm963c4b38-70
  10.                                                        タップ963c4b38-70
  11.  qbr9df6f9f9-42 8000.2e1eba67aca5いいえqvm9df6f9f9-42
  12.                                                        タップ9df6f9f9-42
  13.  qbrb9dd9478-0f 8000.2e954943421cいいえqvmb9dd9478-0f
  14.                                                        タップb9dd9478-0f
  15.  qbrc24f2999-b9 8000.427df7c7a333いいえqvmc24f2999-b9
  16.                                                        タップc24f2999-b9
  17.  qbrc3833757-af 8000.7e6eb025950bいいえqvmc3833757-af
  18.                                                        タップc3833757-af
  19.  qbrc78917be-9c 8000.1a67a8814d03いいえqvmc78917be-9c
  20.                                                        タップc78917b0-9c
  21.  qbrd5cbf3b0-ef 8000.f6de8391f526いいえqvmd5cbf3b0-ef
  22.                                                        TAPd5cbf3b0-ef
  23.  qbrfe79631b-85 8000.c2d425903a69いいえqvmfe79631b-85
  24.                                                        タップfe79631b-85

10 個の qbr があり、各仮想マシンの各ネットワーク カードに対応する qbr があることがわかります。各 qbr には対応するタップと qvm があり、図の qbr の北向きおよび南向きのインターフェイスに対応しています。

3.2.2 OVSブリッジ情報

ovs-vsctl を使用して、ホスト上の既存の OVS ブリッジとそのポートを照会できます。

  1. ブリッジ「plyc24f2999-b9」  
  2.         ポート「qvmc24f2999-b9」  
  3.             インターフェース「qvmc24f2999-b9」  
  4.                 タイプ: 内部
  5.         ポート「plyc24f2999-b9」  
  6.             インターフェース「plyc24f2999-b9」  
  7.                 タイプ: 内部
  8.         ポート「pvic24f2999-b9」  
  9.             インターフェース「pvic24f2999-b9」  
  10.                 タイプ: パッチ
  11.                 オプション: {peer= "pvoc24f2999-b9" }

プライブリッジ情報を確認できます。上部はqvmに接続され、下部はbr-intに接続されます。 ply と br-int の間には、pvi と pvo というポート インターフェイスのペアがあります。

  1. ブリッジ br- int  
  2.         fail_mode: セキュア
  3.         ポート「pvoc78917be-9c」  
  4.             タグ: 5
  5.             インターフェース「pvoc78917be-9c」  
  6.                 タイプ: パッチ
  7.                 オプション:{peer= "pvic78917be-9c" }
  8.         ポート「pvob9dd9478-0f」  
  9.             タグ: 9
  10.             インターフェース「pvob9dd9478-0f」  
  11.                 タイプ: パッチ
  12.                 オプション:{peer= "pvib9dd9478-0f" }

pov ポートがタグ付けされていることに注意してください。これは内部タグであり、主に同じ仮想マシン内の異なる仮想ネットワーク カード デバイスを区別するために使用されます。複数のネットワーク カードには順番に番号が付けられます。

  1. ブリッジ br- int  
  2.         fail_mode: セキュア
  3.         ポート「pvoc78917be-9c」  
  4.             タグ: 5
  5.             インターフェース「pvoc78917be-9c」  
  6.                 タイプ: パッチ
  7.                 オプション:{peer= "pvic78917be-9c" }
  8.         ポート「pvob9dd9478-0f」  
  9.             タグ: 9
  10.             インターフェース「pvob9dd9478-0f」  
  11.                 タイプ: パッチ
  12.                 オプション:{peer= "pvib9dd9478-0f" }
  13.         ポートbr- int  
  14.             タグ: 4095
  15.             インターフェース br- int  
  16.                 タイプ: 内部
  17.         ポートint -brcps
  18.             インターフェースint -brcps
  19.                 タイプ: パッチ
  20.                 オプション: {peer=phy-brcps}
  21.         ポート「pvo9df6f9f9-42」  
  22.             タグ: 5
  23.             インターフェース「pvo9df6f9f9-42」  
  24.                 タイプ: パッチ
  25.                 オプション:{peer= "pvi9df6f9f9-42" }

br-int ブリッジ上のすべてのポート情報を確認できます。上向きポートは pvo ポートであり、下向きポートは brcps ブリッジへの接続に使用される int-brcps ポートです。

  1. ブリッジ br- int  
  2.         fail_mode: セキュア
  3.         ポート「pvoc78917be-9c」  
  4.             タグ: 5
  5.             インターフェース「pvoc78917be-9c」  
  6.                 タイプ: パッチ
  7.                 オプション:{peer= "pvic78917be-9c" }
  8.         ポートint -brcps
  9.             インターフェースint -brcps
  10.                 タイプ: パッチ
  11.                 オプション: {peer=phy-brcps}

int-brcps および phy-brcps インターフェイスは、br-int と brcps ブリッジを接続するインターフェイスです。 br-int をクエリすると、それに接続されている int-brcps を見つけることができ、brcps ブリッジをクエリすると、それに接続されている phy-brcps インターフェイスを見つけることができます。

  1. ブリッジ brcps
  2.         ポート external_om
  3.             タグ:1405
  4.            インターフェース external_om
  5.                タイプ: 内部
  6.         ポート「trunk0」  
  7.            インターフェース「trunk0」  
  8.         ポート phy-brcps
  9.            インターフェース phy-brcps
  10.                タイプ: パッチ
  11.                オプション: {peer= int -brcps}
  12.         ポート external_api
  13.             タグ:1400
  14.            インターフェース external_api
  15.                タイプ: 内部
  16.         ポート brcps
  17.             タグ:0
  18.            インターフェース brcps
  19.                タイプ: 内部
  20.         ポート「om-physnet1」  
  21.             タグ:1089
  22.            インターフェース「om-physnet1」  
  23.                タイプ: 内部

管理プレーン ブリッジ brcps には、外部通信用のタグが付いた external_om ポートと external_api ポートを含む複数のポートがあります。上向き phy-brcps インターフェース。ローカル インターフェイス brcps、ポート om-physnet1、そして最も重要な trunk0 (実際のデータ物理通信インターフェイス)。

上記は、VLAN モードの仮想マシン通信が通過する必要があるすべてのポートであり、データ フローは次のようになります。

1) データ フレームは VM から出力され、TAP によって提供される仮想ネットワーク ポート vNIC を通過し、次に Linux ブリッジ qrb セキュリティ検証を通過します。 qvm に移動すると、内部 VLAN タグが付けられ、ホスト ノード内のローカル ID になります。この ID の目的は、同じホスト内の異なる VM を区別することです。

2) 南へ進み、合流します。ドキュメントには、非ローカル MAC アドレスをフィルタリングするために使用されることが示されています。主な目的は、同じホスト上の他の VM へのアクセスを容易にすることです。宛先ソースが同じホストの場合は、br-int 転送なしに直接アクセスできます。

3) br-int を続行すると、フレームは宛先ホストに転送され、その後南のパッチ ポートに送られます。ポートはフレームの途中にある内部 VLAN ID (ローカル ID) を削除し、外部 VLAN ID に置き換えます。

4) フレームは実際の外部物理スイッチ ポートに送信され、宛先に送信されます。

3.2.2 br-int ダンプフロー情報

br-int は、brcps から来るトラフィック (ポート int-brcps から到着) の VLAN タグ変換を完了します。以下の例では、外部 VLAN ID: 1013 から内部 VLAN ID: 2 への変換を確認できます。

  1. 計算153
  2.  :~
  3.  #ovs-ofctl ダンプフロー br- int  
  4.  NXST_FLOW応答(xid=0x4):
  5.  クッキー=0xaf3ffaad56834ff8、期間=8767986.702秒、テーブル=0、n_packets=138635866、n_bytes=49130127982、アイドル年齢=0、ハード年齢=65534、優先度=3、in_port=1、dl_vlan=1013アクション=mod_vlan_vid:2、通常
  6.  クッキー=0xaf3ffaad56834ff8、期間=8759690.249秒、テーブル=0、n_packets=902894466、n_bytes=111008267998、アイドル年齢=0、ハード年齢=65534、優先度=3、in_port=1、dl_vlan=1014、アクション=mod_vlan_vid:3、通常
  7.  クッキー=0xaf3ffaad56834ff8、期間=8606291.966秒、テーブル=0、n_packets=75523546、n_bytes=7721353259、アイドル年齢=0、ハード年齢=65534、優先度=3、in_port=1、dl_vlan=503、アクション=mod_vlan_vid:4、通常
  8.  クッキー=0xaf3ffaad56834ff8、期間=7943259.828秒、テーブル=0、n_packets=27312770、n_bytes=4039091682、アイドル年齢=0、ハード年齢=65534、優先度=3、in_port=1、dl_vlan=1011アクション=mod_vlan_vid:5、通常
  9.  クッキー=0xaf3ffaad56834ff8、期間=7248098.099秒、テーブル=0、n_packets=17132221、n_bytes=1590164809、アイドル年齢=0、ハード年齢=65534、優先度=3、in_port=1、dl_vlan=504、アクション=mod_vlan_vid:6、通常
  10.  クッキー=0xaf3ffaad56834ff8、期間=5730798.970秒、テーブル=0、n_packets=35859018、n_bytes=4389953008、アイドル年齢=0、ハード年齢=65534、優先度=3、in_port=1、dl_vlan=1012アクション=mod_vlan_vid:7、通常
  11.  クッキー=0xaf3ffaad56834ff8、期間=583874.187秒、テーブル=0、n_packets=2041814、n_bytes=433205117、アイドル年齢=0、ハード年齢=65534、優先度=3、in_port=1、dl_vlan=1015アクション=mod_vlan_vid:8、通常
  12.  クッキー=0xaf3ffaad56834ff8、期間=146306.053秒、テーブル=0、n_packets=435169、n_bytes=31391505、アイドル年齢=0、ハード年齢=65534、優先度=3、in_port=1、dl_vlan=1016 アクション=mod_vlan_vid:9、通常
  13.  クッキー=0xaf3ffaad56834ff8、期間=9233017.369秒、テーブル=0、n_packets=8966890076、n_bytes=2799828872226、アイドル時間=0、ハード時間=65534、優先度=2、in_port=1 アクション=ドロップ 
  14.  クッキー=0xaf3ffaad56834ff8、期間=9233016.732秒、テーブル=0、n_packets=1106708092、n_bytes=190560627712、アイドル年齢=0、ハード年齢=65534、優先度=0 アクション=NORMAL
  15.  クッキー=0xaf3ffaad56834ff8、期間=9233019.667秒、テーブル=23、n_packets=0、n_bytes=0、idle_age=65534、hard_age=65534、優先度=0、アクション=ドロップ 
  16.  クッキー=0xaf3ffaad56834ff8、期間=9233019.551秒、テーブル=24、n_packets=0、n_bytes=0、idle_age=65534、hard_age=65534、優先度=0、アクション=ドロップ 

3.2.3 brcps ダンプフロー情報

brcps は、br-int から着信するトラフィック (ポート phy-brcps から着信) を処理し、ローカル VLAN から外部 VLAN への変換を実現します。次の例は、内部 VLAN ID: 2 から外部 VLAN ID: 1013 への変換を示しています。

  1. 計算153
  2.  :~
  3.  # ovs-ofctl ダンプフロー brcps
  4.  NXST_FLOW応答(xid=0x4):
  5.  クッキー=0xaaf94399aad7707e、期間=8768079.505秒、テーブル=0、n_packets=4610859、n_bytes=723908441、アイドル年齢=6、ハード年齢=65534、優先度=4、in_port=5、dl_vlan=2、アクション=mod_vlan_vid:1013、通常
  6.  クッキー=0xaaf94399aad7707e、期間=8759783.046秒、テーブル=0、n_packets=1061625441、n_bytes=180117774176、アイドル時間=0、ハード時間=65534、優先度=4、in_port=5、dl_vlan=3、アクション=mod_vlan_vid:1014、通常
  7.  クッキー=0xaaf94399aad7707e、期間=8606384.765秒、テーブル=0、n_packets=12135266、n_bytes=3806123480、アイドル年齢=32、ハード年齢=65534、優先度=4、in_port=5、dl_vlan=4、アクション=mod_vlan_vid:503、通常
  8.  クッキー=0xaaf94399aad7707e、期間=7943352.621秒、テーブル=0、n_packets=8783552、n_bytes=1513703385、アイドル年齢=0、ハード年齢=65534、優先度=4、in_port=5、dl_vlan=5、アクション=mod_vlan_vid:1011、通常
  9.  クッキー=0xaaf94399aad7707e、期間=7248190.902秒、テーブル=0、n_packets=2559355、n_bytes=510785011、アイドル年齢=16、ハード年齢=65534、優先度=4、in_port=5、dl_vlan=6、アクション=mod_vlan_vid:504、通常
  10.  クッキー=0xaaf94399aad7707e、期間=5730891.771秒、テーブル=0、n_packets=16831749、n_bytes=3864947698、アイドル年齢=0、ハード年齢=65534、優先度=4、in_port=5、dl_vlan=7、アクション=mod_vlan_vid:1012、通常
  11.  クッキー=0xaaf94399aad7707e、期間=583966.979秒、テーブル=0、n_packets=169878、n_bytes=24055409、アイドル年齢=29、ハード年齢=65534、優先度=4、in_port=5、dl_vlan=8 アクション=mod_vlan_vid:1015、通常
  12.  クッキー=0xaaf94399aad7707e、期間=146398.874秒、テーブル=0、n_packets=1541、n_bytes=157171、アイドル年齢=132、ハード年齢=65534、優先度=4、in_port=5、dl_vlan=9 アクション=mod_vlan_vid:1016、通常
  13.  クッキー=0xaaf94399aad7707e、期間=9233110.012秒、テーブル=0、n_packets=78、n_bytes=6780、idle_age=65534、hard_age=65534、優先度=2、in_port=5 アクション=ドロップ 
  14.  クッキー=0xaaf94399aad7707e、期間=9233111.393秒、テーブル=0、n_packets=10761364888、n_bytes=3180091314185、アイドル時間=0、ハード時間=65534、優先度=0 アクション=

3.2.4 iptables セキュリティグループ

各仮想マシン タップは 2 つのチェーン テーブル (out と in) に対応し、DHCP エージェントから仮想マシンへのアクセス ポリシーは out テーブルで定義されます。

  1. 計算153
  2.  :~
  3.  # iptables -Lneutron-openvswi-sg-チェーン
  5.  neutron-openvswi-sg-チェーン (
  6.  20
  7. 参考文献
  8. ターゲット 利益 選択 ソース 宛先
  9. neutron-openvswi-i7fc1e7d0-0すべて   -- どこでもどこでも PHYSDEV 一致 --physdev-outtap7fc1e7d0-0c --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  10.  neutron-openvswi-o7fc1e7d0-0すべて   -- どこでもどこでも PHYSDEV 一致 --physdev-intap7fc1e7d0-0c --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  11.  neutron-openvswi-i931641ad-4すべて   -- どこでもどこでも PHYSDEV 一致 --physdev-outtap931641ad-4b --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  12.  neutron-openvswi-o931641ad-4すべて   -- どこでもどこでも PHYSDEV 一致 --physdev-intap931641ad-4b --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  13.  neutron-openvswi-i963c4b38-7すべて   -- どこでもどこでも PHYSDEV 一致 --physdev-outtap963c4b38-70 --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  14.  neutron-openvswi-o963c4b38-7すべて   -- どこでもどこでも PHYSDEV 一致 --physdev-intap963c4b38-70 --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  15.  neutron-openvswi-i9df6f9f9-4すべて   -- どこでもどこでも PHYSDEV 一致 --physdev-outtap9df6f9f9-42 --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  16.  neutron-openvswi-o9df6f9f9-4すべて   -- どこでもどこでも PHYSDEV 一致 --physdev-intap9df6f9f9-42 --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  17.  neutron-openvswi-ib9dd9478-0すべて   -- どこでもどこでも PHYSDEV 一致 --physdev-outtapb9dd9478-0f --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  18.  neutron-openvswi-ob9dd9478-0すべて   -- どこでもどこでも PHYSDEV 一致 --physdev-intapb9dd9478-0f --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  19.  neutron-openvswi-ic24f2999-bすべて   -- どこでもどこでも PHYSDEV 一致 --physdev-outtapc24f2999-b9 --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  20.  neutron-openvswi-oc24f2999-bすべて   -- どこでもどこでも PHYSDEV 一致 --physdev-intapc24f2999-b9 --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  21.  neutron-openvswi-ic3833757-aすべて   -- どこでもどこでも PHYSDEV 一致 --physdev-outtapc3833757-af --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  22.  neutron-openvswi-oc3833757-aすべて   -- どこでもどこでも PHYSDEV 一致 --physdev-intapc3833757-af --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  23.  neutron-openvswi-ic78917be-9すべて  -- どこでもどこでも PHYSDEV 一致 --physdev-outtapc78917be-9c --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  24.  neutron-openvswi-oc78917be-9すべて  -- どこでもどこでも PHYSDEV 一致 --physdev-intapc78917be-9c --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  25.  neutron-openvswi-id5cbf3b0-eすべて   -- どこでもどこでも PHYSDEV 一致 --physdev-outtapd5cbf3b0-ef --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  26.  neutron-openvswi-od5cbf3b0-eすべて   -- どこでもどこでも PHYSDEV 一致 --physdev-intapd5cbf3b0-ef --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  27.  neutron-openvswi-ife79631b-8すべて   -- どこでもどこでも PHYSDEV 一致 --physdev-outtapfe79631b-85 --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  28.  neutron-openvswi-ofe79631b-8すべて   -- どこでもどこでも PHYSDEV 一致 --physdev-intapfe79631b-85 --physdev-is-bridged /* VM 固有のチェーンにジャンプします。 */  
  29. すべて受け入れる   -- どこでもどこでも 
  1. 計算153
  2.  :~
  3.  # iptables -L neutron-openvswi-oc78917be-9
  5.  中性子-openvswi-oc78917be-
  6.  9
  8.  2
  9. 参考文献
  10. ターゲット 利益 選択 ソース 宛先
  11. RETURN udp -- デフォルト 255.255.255.255 udpspt:bootpc dpt:bootps /* DHCP クライアント トラフィックを許可します。 */  
  12.  neutron-openvswi-sc78917be-9すべて   -- どこでもどこでも 
  13.  RETURN udp -- どこでもどこでも udp spt:bootpc dpt:bootps /* DHCP クライアント トラフィックを許可します。 */  
  14.  DROP udp -- どこでもどこでも udp spt:bootps udp dpt:bootpc /* VM による DHCP スプーフィングを防止します。 */  
  15. 戻る     全て   -- どこでもどこでも状態 RELATED、ESTABLISHED /* 既知のセッションに関連付けられたパケットを RETURN チェーンに送ります。 */  
  16. 戻る     全て   -- どこでもどこでも 
  17. 落とす       全て   -- どこでもどこでも状態 INVALID /* 既存の接続 (TCP ACK/FIN など) に関連しているように見えるが、conntrack にエントリがないパケットをドロップします。 */  
  18.  neutron-openvswi-sg-フォールバックすべて   -- どこでもどこでも 
  19.  /*
  20. 送信
  21.  一致しないトラフィックをフォールバック チェーンに送信します*/
  1. 計算153
  2.  :~
  3.  # iptables -Lneutron-openvswi-ic78917be-9
  5.  中性子-openvswi-ic78917be-
  6.  9
  8.  1
  9. 参考文献
  10. ターゲット 利益 選択 ソース 宛先
  11. 戻る     全て   -- どこでもどこでも状態 RELATED、ESTABLISHED /* 既知のセッションに関連付けられたパケットを RETURN チェーンに送ります。 */  
  12. 戻り値udp -- xxx.xxx.xxx.xxx どこでも udp spt:bootps udp dpt:bootpc ---DHCP  
  13. 戻り値udp -- xxx.xxx.xxx.xxx どこでも udp spt:bootps udp dpt:bootpc ---DHCP  
  14. 戻る     全て   -- どこでもどこでも 
  15. 落とす       全て   -- どこでもどこでも状態 INVALID /* 既存の接続に関連しているように見えるが (TCP ACK/FIN など)、conntrack にエントリがないパケットをドロップします。 */  
  16.  neutron-openvswi-sg-フォールバックすべて   -- どこでもどこでも /* 一致しないトラフィックをフォールバック チェーンに送信します。 */  

3.3 コンピューティングノードのVLAN分離

VLAN モードでは、各 VLAN ネットワークに独自のブリッジが存在するため、VLAN ベースの分離が実現されます。 VLAN タグの変換には、2 つのブリッジ br-int と brcps の連携が必要です。 br-int は int-brcps (外部 VLAN を使用) から内部 VLAN へのパケットの変換を担当し、brcps は phy-brcps (内部 VLAN を使用) から外部 VLAN へのパケットの変換を担当します。テナントのトラフィック分離も VLAN を通じて実行されるため、コンピュート ノード内の仮想マシンのトラフィックによって伝送されるローカル VLAN と、コンピュート ノードの外部の物理ネットワーク上の異なるテナントを分離する VLAN の 2 種類の VLAN が存在します。物理スイッチと eth ネットワーク カードを接続するポートは、トランク モードに設定され、同じ物理ネットワーク カード上の複数の異なる VLAN からのデータを実装します。

<<:  Kingsoft CloudとJD Cloudが合併を否定。キングソフト・ソフトウェアはJDとの協力を協議中と発表

>>:  Apache Flink トークシリーズ (15) - Kafka 用データストリーム コネクタ

推薦する

友好的なリンク交換を行うには、なぜサイトをホームページに掲載する必要があるのですか?

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています石家荘馬匯...

#感謝祭# ion: Windows ライセンス付きのロサンゼルス VPS、40% 割引、更新時の価格上昇なし、ウェブサイト構築に最適

krypt 傘下の VPS ブランドである ion は、感謝祭に向けて新たに 40% オフ (年払い...

Baidu のオリジナルアルゴリズム — 死!

私は SEO に携わってまだ 3 か月も経っていない初心者です。この業界について理解を深めていくうち...

中国広告主マーケティングトレンド調査レポート

概要: 8月3日、ハルビンで開催された中国広告フォーラムにおいて、CCTV Market Resea...

高度な SEO のヒント

今、SEO について言及すると、少なくとも一部の人は苦痛を感じるかもしれません。なぜでしょうか? 希...

検索プロモーションにおけるマーケティング戦略についての簡単な説明

オンライン マーケティング プロモーションの実践において、SEM を行う人の多くはアカウント操作に力...

EDMマーケティングとは?EDMメールマーケティングの3つのコアテクニック

ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービスEDM マーケティングと...

ある男がフォーラムを開設し、毎月カードを発行したり大口顧客に割引を提供したりして、ネガティブな話を作り出し、金銭をゆすっていた。

最近、広東省茂名市警察はインターネットを利用した犯罪行為に関わる事件を解決した。ある男が華州フォーラ...

企業ウェブサイトの最適化における内部リンクのレイアウトに関する簡単な説明

以前、「新規ウェブサイト開設のためのウェブサイト最適化の基本プロセス」という記事を書きました。これは...

desivps が losangelesvps.com を買収

創業から3年未満のアメリカのVPS販売業者losangelesvps.comが、www.desivp...

ウェブマスターネットワークからの毎日のレポート:Facebook上場の影響が深まり、QQが高リスクの脆弱性を露呈

1. FacebookのIPO失敗の影響が深刻化:証券会社3社が巨額の損失を主張新浪科技は北京時間5...

Green Radish Algorithm 2.0 アップデート後にウェブマスターが外部リンクを投稿する方法の簡単な分析

数日前、Baidu のウェブ検索不正防止チームは、Baidu Green Radish Algori...

ソフト記事を書く際に注意すべき点

ソフト記事を初めて書く著者にとって、優れたソフト記事の書き方は確かに疑問です。高品質のソフト記事は、...

EasyStor CEO 楊炳富: 差別化路線を堅持し、No.1の起業家ブランドになる

[51CTO.com からのオリジナル記事] 仮想化とクラウド コンピューティングが一般的なトレンド...

#仮想ホスト: buyshared-$5/年/cpanelパネル/SSD/独立IP/Alipay

buyshared.net が本日正式に開始されました。主な製品は仮想ホスティングとリセラーです。c...