ホーム
製品
OpenShift Container Platform
4.19
Introduction to Virtualization
10.7.2.3. Linux ブリッジ NAD のポート分離を有効にする

10.7.2.3. Linux ブリッジ NAD のポート分離を有効にする

Linux ブリッジ Network Attachment Definition (NAD) のポート分離を有効にすると、同じ仮想 LAN (VLAN) 上で実行される仮想マシン (VM) または Pod が相互に分離して動作できるようになります。Linux ブリッジ NAD は、ネットワークインターフェイスと物理ネットワークの間に仮想ブリッジ、または 仮想スイッチ を作成します。

このようにポートを分離すると、同じノードで実行される仮想マシンワークロードのセキュリティーが強化されます。

前提条件

仮想マシンの場合、各仮想マシンに静的 IP アドレスまたは動的 IP アドレスのいずれかを設定している。「仮想マシンの IP アドレスの設定」を参照してください。
Web コンソールまたはコマンドラインインターフェイスを使用して、Linux ブリッジ NAD を作成している。
OpenShift CLI (oc) がインストールされている。

手順

portIsolation を true に設定して、Linux ブリッジ NAD を編集します。
```
apiVersion: "k8s.cni.cncf.io/v1"
kind: NetworkAttachmentDefinition
metadata:
  name: bridge-network
  annotations:
    k8s.v1.cni.cncf.io/resourceName: bridge.network.kubevirt.io/br1
spec:
  config: |
    {
      "cniVersion": "0.3.1",
      "name": "bridge-network",
      "type": "bridge",
      "bridge": "br1",
      "preserveDefaultVlan": false,
      "vlan": 100,
      "disableContainerInterface": false,
      "portIsolation": true
    }
# ...
```
- spec.config.name は、設定の名前を指定します。名前は、NAD の metadata.name の値と一致する必要があります。
- spec.config.type は、このネットワークアタッチメント定義にネットワークを提供する Container Network Interface (CNI) プラグインの実際の名前を指定します。異なる CNI を使用するのでない限り、このフィールドは変更しないでください。
- spec.config.bridge は、ノード上で設定されている Linux ブリッジの名前を指定します。この名前は、NodeNetworkConfigurationPolicy マニフェストで定義されているインターフェイスブリッジ名と一致する必要があります。
- spec.config.portIsolation は、仮想ブリッジ上のポート分離が有効か無効かを指定します。デフォルト値は false です。true に設定すると、各仮想マシンまたは Pod は分離されたポートに割り当てられます。仮想ブリッジは、1 つの分離ポートからのトラフィックが別の分離ポートに到達するのを防ぎます。
設定を適用します。
```
$ oc apply -f example-vm.yaml
```
オプション: 実行中の仮想マシンを編集している場合は、変更を有効にするためにこれを再起動する必要があります。

10.7.2.3. Linux ブリッジ NAD のポート分離を有効にする

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links