ホーム
製品
OpenShift Container Platform
4.19
Introduction to Virtualization
11.7. Linux ブリッジネットワークへの仮想マシンの接続

11.7. Linux ブリッジネットワークへの仮想マシンの接続

デフォルトでは、OpenShift Virtualization は単一の内部 Pod ネットワークとともにインストールされます。

次の手順を実行すると、Linux ブリッジネットワークを作成し、そのネットワークに仮想マシンを接続できます。

Linux ブリッジ Node Network Configuration Policy (NNCP) を作成します。
Web コンソールまたはコマンドラインを使用して、Linux ブリッジネットワークアタッチメント定義 (NAD) を作成します。
Web コンソールまたはコマンドラインを使用して、NAD を認識するように仮想マシンを設定します。

注記

OpenShift Virtualization は、Linux ブリッジボンディングモード 0、5、および 6 をサポートしていません。詳細は、Which bonding modes work when used with a bridge that virtual machine guests or containers connect to? を参照してください。

11.7.1. Linux ブリッジ NNCP の作成
リンクのコピー

Linux ブリッジネットワークの NodeNetworkConfigurationPolicy (NNCP) マニフェストを作成できます。

前提条件

Kubernetes NMState Operator がインストールされている。

手順

NodeNetworkConfigurationPolicy マニフェストを作成します。この例には、独自の情報で置き換える必要のあるサンプルの値が含まれます。

apiVersion: nmstate.io/v1
kind: NodeNetworkConfigurationPolicy
metadata:
  name: br1-eth1-policy 
spec:
  desiredState:
    interfaces:
      - name: br1 
        description: Linux bridge with eth1 as a port 
        type: linux-bridge 
        state: up 
        ipv4:
          enabled: false 
        bridge:
          options:
            stp:
              enabled: false 
          port:
            - name: eth1

apiVersion: nmstate.io/v1
kind: NodeNetworkConfigurationPolicy
metadata:
  name: br1-eth1-policy


spec:
  desiredState:
    interfaces:
      - name: br1


        description: Linux bridge with eth1 as a port


        type: linux-bridge


        state: up


        ipv4:
          enabled: false


        bridge:
          options:
            stp:
              enabled: false


          port:
            - name: eth1

Copy to Clipboard

Toggle word wrap

1: ポリシーの名前。
2: インターフェイスの名前。
3: オプション: 人間が判読できるインターフェイスの説明。
4: インターフェイスのタイプ。この例では、ブリッジを作成します。
5: 作成後のインターフェイスの要求された状態。
6: この例では IPv4 を無効にします。
7: この例では STP を無効にします。
8: ブリッジが接続されているノード NIC。

注記

IBM Z® で OSA を使用する Linux ブリッジ用の NNCP マニフェストを作成するには、NodeNetworkConfigurationPolicy マニフェストで rx-vlan-filter を false に設定して VLAN フィルタリングを無効にする必要があります。

または、ノードへの SSH アクセス権がある場合は、次のコマンドを実行して VLAN フィルタリングを無効にできます。

sudo ethtool -K <osa-interface-name> rx-vlan-filter off

$ sudo ethtool -K <osa-interface-name> rx-vlan-filter off

Copy to Clipboard

Toggle word wrap

11.7.2. Linux ブリッジ NAD の作成
リンクのコピー

OpenShift Container Platform Web コンソールまたはコマンドラインを使用して、Linux ブリッジ Network Attachment Definition (NAD) を作成できます。

11.7.2.1. Web コンソールを使用した Linux ブリッジ NAD の作成
リンクのコピー

OpenShift Container Platform Web コンソールを使用して、Network Attachment Definition (NAD) を作成して、Pod および仮想マシンに layer-2 ネットワークを提供できます。

Linux ブリッジ Network Attachment Definition は、仮想マシンを VLAN に接続するための最も効率的な方法です。

警告

仮想マシンのネットワークアタッチメント定義での IP アドレス管理 (IPAM) の設定はサポートされていません。

手順

Web コンソールで、Networking NetworkAttachmentDefinitions をクリックします。
Create Network Attachment Definition をクリックします。
注記
Network Attachment Definition は Pod または仮想マシンと同じ namespace にある必要があります。
一意の Name およびオプションの Description を入力します。
Network Type リストから CNV Linux bridge を選択します。
Bridge Name フィールドにブリッジの名前を入力します。
オプション: リソースに VLAN ID が設定されている場合、VLAN Tag Number フィールドに ID 番号を入力します。
注記
IBM Z® 上の OSA インターフェイスは VLAN フィルタリングをサポートしていないため、VLAN タグ付きのトラフィックは破棄されます。OSA インターフェイスでは VLAN タグを使用する NAD を使用しないでください。
オプション: MAC Spoof Check を選択して、MAC スプーフフィルタリングを有効にします。この機能により、Pod を終了するための MAC アドレスを 1 つだけ許可することで、MAC スプーフィング攻撃に対してセキュリティーを確保します。
Create をクリックします。

11.7.2.2. CLI を使用した Linux ブリッジ NAD の作成
リンクのコピー

コマンドラインを使用してネットワークアタッチメント定義 (NAD) を作成し、Pod および仮想マシンに layer-2 ネットワークを提供できます。

NAD と仮想マシンは同じ namespace に存在する必要があります。

警告

仮想マシンのネットワークアタッチメント定義での IP アドレス管理 (IPAM) の設定はサポートされていません。

前提条件

OpenShift CLI (oc) がインストールされている。

手順

次の例のように、仮想マシンを NetworkAttachmentDefinition 設定に追加します。
```
apiVersion: "k8s.cni.cncf.io/v1"
kind: NetworkAttachmentDefinition
metadata:
  name: bridge-network 
  annotations:
    k8s.v1.cni.cncf.io/resourceName: bridge.network.kubevirt.io/br1 
spec:
  config: |
    {
      "cniVersion": "0.3.1",
      "name": "bridge-network", 
      "type": "bridge", 
      "bridge": "br1", 
      "macspoofchk": false, 
      "vlan": 100, 
      "disableContainerInterface": true,
      "preserveDefaultVlan": false 
    }
```
```
apiVersion: "k8s.cni.cncf.io/v1"
kind: NetworkAttachmentDefinition
metadata:
  name: bridge-network 
```
1
```
  annotations:
    k8s.v1.cni.cncf.io/resourceName: bridge.network.kubevirt.io/br1 
```
2
```
spec:
  config: |
    {
      "cniVersion": "0.3.1",
      "name": "bridge-network", 
```
3
```
      "type": "bridge", 
```
4
```
      "bridge": "br1", 
```
5
```
      "macspoofchk": false, 
```
6
```
      "vlan": 100, 
```
7
```
      "disableContainerInterface": true,
      "preserveDefaultVlan": false 
```
8
```
    }
```
Copy to Clipboard Toggle word wrap
1
NetworkAttachmentDefinition オブジェクトの名前。
2
オプション: 一部のノードに設定されたブリッジのノード選択に使用するアノテーションのキーと値のペア。このアノテーションをネットワークアタッチメント定義に追加すると、仮想マシンインスタンスが、定義されたブリッジが接続されているノード上でのみ実行されます。
3
設定の名前。設定名を Network Attachment Definition の name 値に一致させることが推奨されます。
4
この Network Attachment Definition のネットワークを提供する Container Network Interface (CNI) プラグインの実際の名前。異なる CNI を使用するのでない限り、このフィールドは変更しないでください。
5
ノードに設定される Linux ブリッジの名前。この名前は、NodeNetworkConfigurationPolicy マニフェストで定義されているインターフェイスブリッジ名と一致する必要があります。
6
オプション: MAC スプーフィングチェックを有効にするフラグ。true に設定すると、Pod またはゲストインターフェイスの MAC アドレスを変更できません。この属性により、Pod から出ることができる MAC アドレスは 1 つだけになり、MAC スプーフィング攻撃に対するセキュリティーが確保されます。
7
オプション: VLAN タグ。Node Network Configuration Policy では、追加の VLAN 設定は必要ありません。
注記
IBM Z® 上の OSA インターフェイスは VLAN フィルタリングをサポートしていないため、VLAN タグ付きのトラフィックは破棄されます。OSA インターフェイスでは VLAN タグを使用する NAD を使用しないでください。
8
オプション: 仮想マシンがデフォルト VLAN 経由でブリッジに接続するかどうかを示します。デフォルト値は true です。
注記
Linux ブリッジ Network Attachment Definition は、仮想マシンを VLAN に接続するための最も効率的な方法です。

オプション: 仮想マシンをネイティブネットワークに接続する場合は、VLAN を指定せずに Linux ブリッジ NetworkAttachmentDefinition マニフェストを設定します。

apiVersion: "k8s.cni.cncf.io/v1"
kind: NetworkAttachmentDefinition
metadata:
  name: bridge-network
  annotations:
    k8s.v1.cni.cncf.io/resourceName: bridge.network.kubevirt.io/br1
spec:
  config: |
    {
      "cniVersion": "0.3.1",
      "name": "bridge-network",
      "type": "bridge",
      "bridge": "br1",
      "macspoofchk": false,
      "disableContainerInterface": true
    }

apiVersion: "k8s.cni.cncf.io/v1"
kind: NetworkAttachmentDefinition
metadata:
  name: bridge-network
  annotations:
    k8s.v1.cni.cncf.io/resourceName: bridge.network.kubevirt.io/br1
spec:
  config: |
    {
      "cniVersion": "0.3.1",
      "name": "bridge-network",
      "type": "bridge",
      "bridge": "br1",
      "macspoofchk": false,
      "disableContainerInterface": true
    }

Copy to Clipboard

Toggle word wrap

Network Attachment Definition を作成します。
```
oc create -f network-attachment-definition.yaml
```
```
$ oc create -f network-attachment-definition.yaml 
```
1
Copy to Clipboard Toggle word wrap
1
ここで、network-attachment-definition.yaml は Network Attachment Definition マニフェストのファイル名です。

検証

次のコマンドを実行して、Network Attachment Definition が作成されたことを確認します。
```
oc get network-attachment-definition bridge-network
```
```
$ oc get network-attachment-definition bridge-network
```
Copy to Clipboard Toggle word wrap

11.7.2.3. Linux ブリッジ NAD のポート分離を有効にする
リンクのコピー

Linux ブリッジ Network Attachment Definition (NAD) のポート分離を有効にすると、同じ仮想 LAN (VLAN) 上で実行される仮想マシン (VM) または Pod が相互に分離して動作できるようになります。Linux ブリッジ NAD は、ネットワークインターフェイスと物理ネットワークの間に仮想ブリッジ、または 仮想スイッチ を作成します。

このようにポートを分離すると、同じノードで実行される仮想マシンワークロードのセキュリティーが強化されます。

前提条件

仮想マシンの場合、各仮想マシンに静的 IP アドレスまたは動的 IP アドレスのいずれかを設定している。「仮想マシンの IP アドレスの設定」を参照してください。
Web コンソールまたはコマンドラインインターフェイスを使用して、Linux ブリッジ NAD を作成している。
OpenShift CLI (oc) がインストールされている。

手順

portIsolation を true に設定して、Linux ブリッジ NAD を編集します。
```
apiVersion: "k8s.cni.cncf.io/v1"
kind: NetworkAttachmentDefinition
metadata:
  name: bridge-network
  annotations:
    k8s.v1.cni.cncf.io/resourceName: bridge.network.kubevirt.io/br1
spec:
  config: |
    {
      "cniVersion": "0.3.1",
      "name": "bridge-network", 
      "type": "bridge", 
      "bridge": "br1", 
      "preserveDefaultVlan": false,
      "vlan": 100,
      "disableContainerInterface": false,
      "portIsolation": true 
    }
# ...
```
```
apiVersion: "k8s.cni.cncf.io/v1"
kind: NetworkAttachmentDefinition
metadata:
  name: bridge-network
  annotations:
    k8s.v1.cni.cncf.io/resourceName: bridge.network.kubevirt.io/br1
spec:
  config: |
    {
      "cniVersion": "0.3.1",
      "name": "bridge-network", 
```
1
```
      "type": "bridge", 
```
2
```
      "bridge": "br1", 
```
3
```
      "preserveDefaultVlan": false,
      "vlan": 100,
      "disableContainerInterface": false,
      "portIsolation": true 
```
4
```
    }
# ...
```
Copy to Clipboard Toggle word wrap
1
設定の名前。名前は、NAD の metadata.name の値と一致する必要があります。
2
この Network Attachment Definition のネットワークを提供する Container Network Interface (CNI) プラグインの実際の名前。異なる CNI を使用するのでない限り、このフィールドは変更しないでください。
3
ノードに設定されている Linux ブリッジの名前。この名前は、NodeNetworkConfigurationPolicy マニフェストで定義されているインターフェイスブリッジ名と一致する必要があります。
4
仮想ブリッジ上のポート分離を有効または無効にします。デフォルト値は false です。true に設定すると、各仮想マシンまたは Pod は分離されたポートに割り当てられます。仮想ブリッジは、1 つの分離ポートからのトラフィックが別の分離ポートに到達するのを防ぎます。
設定を適用します。
```
oc apply -f example-vm.yaml
```
```
$ oc apply -f example-vm.yaml
```
Copy to Clipboard Toggle word wrap
オプション: 実行中の仮想マシンを編集している場合は、変更を有効にするためにこれを再起動する必要があります。

11.7.3. 仮想マシンネットワークインターフェイスの設定
リンクのコピー

OpenShift Container Platform Web コンソールまたはコマンドラインを使用して、仮想マシンネットワークインターフェイスを設定できます。

11.7.3.1. Web コンソールを使用した仮想マシンネットワークインターフェイスの設定
リンクのコピー

OpenShift Container Platform Web コンソールを使用して、仮想マシンのネットワークインターフェイスを設定できます。

前提条件

ネットワークの Network Attachment Definition を作成している。

手順

Virtualization VirtualMachines に移動します。
仮想マシンをクリックして、VirtualMachine details ページを表示します。
Configuration タブで、Network interfaces タブをクリックします。
Add network interface をクリックします。
インターフェイス名を入力し、Network リストから Network Attachment Definition を選択します。
Save をクリックします。
仮想マシンを再起動またはライブマイグレーションして、変更を適用します。

ネットワークフィールド

Expand

Name	説明
Name	ネットワークインターフェイスコントローラーの名前。
モデル	ネットワークインターフェイスコントローラーのモデルを示します。サポートされる値は e1000e および virtio です。 IBM Z® では、有効な NIC モデルオプションは virtio のみです。e1000e はサポートされていません。
ネットワーク	利用可能な Network Attachment Definition のリスト。
型	利用可能なバインディングメソッドの一覧。ネットワークインターフェイスに適したバインド方法を選択します。デフォルトの Pod ネットワーク: `masquerade` Linux ブリッジネットワーク: `bridge` SR-IOV ネットワーク: `SR-IOV` IBM Z® では、`SR-IOV` はサポートされていません。
MAC Address	ネットワークインターフェイスコントローラーの MAC アドレス。MAC アドレスが指定されていない場合、これは自動的に割り当てられます。

11.7.3.2. CLI を使用した仮想マシンネットワークインターフェイスの設定
リンクのコピー

コマンドラインを使用して、ブリッジネットワークの仮想マシンネットワークインターフェイスを設定できます。

前提条件

OpenShift CLI (oc) がインストールされている。
設定を編集する前に仮想マシンをシャットダウンします。実行中の仮想マシンを編集する場合は、変更を有効にするために仮想マシンを再起動する必要があります。

手順

次の例のように、ブリッジインターフェイスとネットワークアタッチメント定義を仮想マシン設定に追加します。

apiVersion: kubevirt.io/v1
kind: VirtualMachine
metadata:
  name: example-vm
spec:
  template:
    spec:
      domain:
        devices:
          interfaces:
            - bridge: {}
              name: bridge-net 
# ...
      networks:
        - name: bridge-net 
          multus:
            networkName: bridge-network

apiVersion: kubevirt.io/v1
kind: VirtualMachine
metadata:
  name: example-vm
spec:
  template:
    spec:
      domain:
        devices:
          interfaces:
            - bridge: {}
              name: bridge-net


# ...
      networks:
        - name: bridge-net


          multus:
            networkName: bridge-network

Copy to Clipboard

Toggle word wrap

1: ブリッジインターフェイスの名前。
2: ネットワークの名前。この値は、対応する spec.template.spec.domain.devices.interfaces エントリーの name 値と一致する必要があります。
3: Network Attachment Definition の名前。

設定を適用します。
```
oc apply -f example-vm.yaml
```
```
$ oc apply -f example-vm.yaml
```
Copy to Clipboard Toggle word wrap
オプション: 実行中の仮想マシンを編集している場合は、変更を有効にするためにこれを再起動する必要があります。

注記

OSA カードを使用して IBM Z® 上で OpenShift Virtualization を実行する場合は、デバイスの MAC アドレスを登録する必要があります。詳細は、OSA interface traffic forwarding (IBM ドキュメント) を参照してください。

トップに戻る

11.7. Linux ブリッジネットワークへの仮想マシンの接続

11.7.1. Linux ブリッジ NNCP の作成
リンクのコピー

11.7.2. Linux ブリッジ NAD の作成
リンクのコピー

11.7.2.1. Web コンソールを使用した Linux ブリッジ NAD の作成
リンクのコピー

11.7.2.2. CLI を使用した Linux ブリッジ NAD の作成
リンクのコピー

11.7.2.3. Linux ブリッジ NAD のポート分離を有効にする
リンクのコピー

11.7.3. 仮想マシンネットワークインターフェイスの設定
リンクのコピー

11.7.3.1. Web コンソールを使用した仮想マシンネットワークインターフェイスの設定
リンクのコピー

ネットワークフィールド

11.7.3.2. CLI を使用した仮想マシンネットワークインターフェイスの設定
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

11.7. Linux ブリッジネットワークへの仮想マシンの接続

11.7.1. Linux ブリッジ NNCP の作成リンクのコピーリンクがクリップボードにコピーされました!

11.7.2. Linux ブリッジ NAD の作成リンクのコピーリンクがクリップボードにコピーされました!

11.7.2.1. Web コンソールを使用した Linux ブリッジ NAD の作成リンクのコピーリンクがクリップボードにコピーされました!

11.7.2.2. CLI を使用した Linux ブリッジ NAD の作成リンクのコピーリンクがクリップボードにコピーされました!

11.7.2.3. Linux ブリッジ NAD のポート分離を有効にするリンクのコピーリンクがクリップボードにコピーされました!

11.7.3. 仮想マシンネットワークインターフェイスの設定リンクのコピーリンクがクリップボードにコピーされました!

11.7.3.1. Web コンソールを使用した仮想マシンネットワークインターフェイスの設定リンクのコピーリンクがクリップボードにコピーされました!

ネットワークフィールド

11.7.3.2. CLI を使用した仮想マシンネットワークインターフェイスの設定リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

11.7.1. Linux ブリッジ NNCP の作成
リンクのコピー

11.7.2. Linux ブリッジ NAD の作成
リンクのコピー

11.7.2.1. Web コンソールを使用した Linux ブリッジ NAD の作成
リンクのコピー

11.7.2.2. CLI を使用した Linux ブリッジ NAD の作成
リンクのコピー

11.7.2.3. Linux ブリッジ NAD のポート分離を有効にする
リンクのコピー

11.7.3. 仮想マシンネットワークインターフェイスの設定
リンクのコピー

11.7.3.1. Web コンソールを使用した仮想マシンネットワークインターフェイスの設定
リンクのコピー

11.7.3.2. CLI を使用した仮想マシンネットワークインターフェイスの設定
リンクのコピー