10.4. セキュリティーグループのファイアウォールの設定
データプレーンインターフェイスのステートフルファイアウォールには、高いパフォーマンスが要求されます。これらのインターフェイスを保護するためには、Red Hat OpenStack Platform (RHOSP) OVS-DPDK 環境に、仮想ネットワーク機能 (VNF) として通信業界グレードのファイアウォールをデプロイすることを検討してください。
ML2/OVS のデプロイメントでコントロールプレーンのインターフェイスを設定するには、カスタム環境ファイルの parameter_defaults
で NeutronOVSFirewallDriver
パラメーターを openvswitch
に設定します。OVN のデプロイメントでは、アクセスコントロールリスト (ACL) を使用してセキュリティーグループを実装することができます。
オフロードパスではフローの接続追跡プロパティーがサポートされていないため、OVS ファイアウォールドライバーをハードウェアオフロードで使用することはできません。
前提条件
-
アンダークラウドホストへのアクセスと
stack
ユーザーの認証情報。
手順
-
アンダークラウドに
stack
ユーザーとしてログインします。 stackrc
ファイルを取得します。$ source ~/stackrc
- 「OVS-DPDK カスタマイズ用の環境ファイルの作成」 に作成したカスタム環境 YAML ファイルを開くか、新しいものを作成します。
parameter_defaults
の下に、次のキーと値のペアを追加します。parameter_defaults: ... NeutronOVSFirewallDriver: openvswitch
- 新しいカスタム環境ファイルを作成した場合は、そのパスとファイル名をメモします。このファイルは、後でオーバークラウドをデプロイするときに使用します。
オーバークラウドをデプロイした後、
openstack port set
コマンドを実行して、データプレーンインターフェイスの OVS ファイアウォールドライバーを無効にします。$ openstack port set --no-security-group --disable-port-security ${PORT}
次のステップ
- 「ベアメタルノード定義ファイルの作成」 に進みます。
関連情報
- director を使用した Red Hat OpenStack Platform のインストールと管理 の コンポーザブルサービスとカスタムロール
- NFV 向けのテスト済み NIC