2.9. ML2/OVS から ML2/OVN へのインプレースマイグレーション: 検証済みのシナリオおよび禁止されるシナリオ
Red Hat では、インプレースマイグレーションのシナリオを継続的にテストおよび改良しています。Red Hat Technical Account Manager または Global Professional Services と連携して、OVS デプロイメントが有効なインプレースマイグレーションのシナリオの条件を満たしているかどうかを判断します。
2.9.1. 検証済みの ML2/OVS から ML2/OVN への移行シナリオ
- DVR から DVR へ
開始時点: RHOSP 16.1.1 以降と OVS および DVR の組み合わせ。
終了時点: 同じ RHOSP バージョンおよびリリースと OVS および DVR の組み合わせ。
SR-IOV は開始環境には存在せず、移行中または移行後に追加されませんでした。
- 集中ルーティングと SR-IOV および Virtual Function (VF) ポートのみの組み合わせ
開始時点: RHOSP 16.1.1 以降と OVS (DVR なし) および SR-IOV の組み合わせ。
終了時点: 同じ RHOSP バージョンおよびリリースと OVS (DVR なし) および SR-IOV の組み合わせ。
負荷は SR-IOV Virtual Function (VF) ポートだけを使用しました。SR-IOV Physical Function (PF) ポートにより、移行に失敗していました。
2.9.2. 検証されていない ML2/OVS から ML2/OVN へのインプレースマイグレーションのシナリオ
Red Hat から根本の問題が解決されたと通知があるまで、以下のシナリオでは ML2/OVS から ML2/OVN へのインプレースマイグレーションを行うことはできません。
- OVS デプロイメントでネットワーク機能仮想化 (NFV) が使用される
- Red Hat は ML2/OVN および NFV を使用する新しいデプロイメントをサポートしますが、ML2/OVS および NFV を使用するデプロイメントから ML2/OVN への移行は正常にテストされていません。この問題の進捗を確認するには、Bug 1925290 を参照してください。
- SR-IOV と Physical Function (PF) ポートの組み合わせ
- いずれの負荷が SR-IOV PF ポートを使用する場合でも、移行テストが失敗しました。この問題の進捗を確認するには、Bug 1879546 を参照してください。
- OVS がトランクポートを使用する
- ML2/OVS デプロイメントでトランクポートが使用される場合は、ML2/OVS から ML2/OVN への移行を実施しないでください。OVN 環境では、移行によりトランキングされたポートが適切に設定されません。この問題の進捗を確認するには、Bug 1857652 を参照してください。
- DVR を使用する VLAN プロジェクト (テナント) ネットワーク
- DVR および VLAN プロジェクトネットワークを使用する ML2/OVN の設定に移行しないでください。集中ルーティングを使用する ML2/OVN に移行できます。この問題の進捗を確認するには、Bug 1766930 を参照してください。
2.9.3. ML2/OVS から ML2/OVN へのインプレースマイグレーションおよびセキュリティーグループルール
元の ML2/OVS デプロイメントのカスタムセキュリティーグループルールがターゲットの ML2/OVN デプロイメントと互換性があることを確認します。
たとえば、デフォルトのセキュリティーグループには、DHCP サーバーへの送信を許可するルールが含まれます。ML2/OVS デプロイメントでこれらのルールを削除した場合、ML2/OVS は DHCP サーバーへの送信を許可する暗黙的なルールを自動的に追加します。これらの暗黙的なルールは ML2/OVN ではサポートされません。そのため、ターゲットの ML2/OVN 環境では、DHCP およびメタデータのトラフィックは DHCP サーバーに到達せず、インスタンスは起動しません。この場合、DHCP アクセスを回復するには、以下のルールを追加します。
# Allow VM to contact dhcp server (ipv4) openstack security group rule create --egress --ethertype IPv4 --protocol udp --dst-port 67 ${SEC_GROUP_ID} # Allow VM to contact metadata server (ipv4) openstack security group rule create --egress --ethertype IPv4 --protocol tcp --remote-ip 169.254.169.254 ${SEC_GROUP_ID} # Allow VM to contact dhcp server (ipv6, non-slaac). Be aware that the remote-ip may vary depending on your use case! openstack security group rule create --egress --ethertype IPv6 --protocol udp --dst-port 547 --remote-ip ff02::1:2 ${SEC_GROUP_ID} # Allow VM to contact metadata server (ipv6) openstack security group rule create --egress --ethertype IPv6 --protocol tcp --remote-ip fe80::a9fe:a9fe ${SEC_GROUP_ID}