第17章 許可するアドレスペアの設定
17.1. 許可するアドレスペアの概要
許可するアドレスペア は、特定の MAC アドレス、IP アドレス、またはその両方を指定して、サブネットに関係なくネットワークトラフィックがポートを通過できるようにする際に設定します。許可するアドレスペアを定義すると、VRRP (仮想ルーター冗長プロトコル) 等のプロトコルを使用できます。このプロトコルでは、2 つの仮想マシンインスタンス間で IP アドレスを移動して、迅速なデータプレーンのフェイルオーバーが可能です。
Red Hat OpenStack Platform コマンドラインクライアントの openstack port
コマンドを使用して、許可するアドレスペアを定義します。
許可するアドレスペアでは、より広い IP アドレス範囲を持つデフォルトのセキュリティーグループを使用しないように注意してください。そうしないと、1 つのポートが同じネットワーク内の他のすべてのポートのセキュリティーグループをバイパスできてしまいます。
たとえば、以下のコマンドはネットワーク内のすべてのポートに影響を与え、すべてのセキュリティーグループをバイパスします。
# openstack port set --allowed-address mac-address=3e:37:09:4b,ip-address=0.0.0.0/0 9e67d44eab334f07bf82fa1b17d824b6
ML2/OVN メカニズムドライバーネットワークバックエンドを使用すると、仮想 IP を作成することができます。ただし、allowed_address_pairs
を使用するバインドポートに割り当てられる IP アドレスは、仮想ポートの IP アドレス (/32) と一致する必要があります。
バインドポート allowed_address_pairs
に CIDR 形式の IP アドレスを使用する場合には、ポート転送はバックエンドで設定されず、バインドされた IP ポートに到達できる必要のある CIDR の IP でトラフィックが失敗します。
関連情報
- コマンドラインインターフェイスリファレンスの port
- 「ポートの作成および 1 つのアドレスペアの許可」
- 「許可するアドレスペアの追加」