11.3. 信頼済み VF ネットワークの活用
種別
vlan
のネットワークを作成します。openstack network create trusted_vf_network --provider-network-type vlan \ --provider-segment 111 --provider-physical-network sriov2 \ --external --disable-port-security
サブネットを作成します。
openstack subnet create --network trusted_vf_network \ --ip-version 4 --subnet-range 192.168.111.0/24 --no-dhcp \ subnet-trusted_vf_network
ポートを作成します。
vnic-type
オプションをdirect
に、binding-profile
オプションをtrue
に、それぞれ設定します。openstack port create --network sriov111 \ --vnic-type direct --binding-profile trusted=true \ sriov111_port_trusted
インスタンスを作成し、それを前のステップで作成した信頼済みポートにバインドします。
openstack server create --image rhel --flavor dpdk --network internal --port trusted_vf_network_port_trusted --config-drive True --wait rhel-dpdk-sriov_trusted
検証
ハイパーバイザー上での信頼済み VF 設定の確認
インスタンスを作成した Compute ノード上で、以下のコマンドを入力します。
# ip link 7: p5p2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9000 qdisc mq state UP mode DEFAULT group default qlen 1000 link/ether b4:96:91:1c:40:fa brd ff:ff:ff:ff:ff:ff vf 6 MAC fa:16:3e:b8:91:c2, vlan 111, spoof checking off, link-state auto, trust on, query_rss off vf 7 MAC fa:16:3e:84:cf:c8, vlan 111, spoof checking off, link-state auto, trust off, query_rss off
-
VF の信頼ステータスが
trust on
であることを確認します。上記の出力例には、2 つのポートが含まれる環境の詳細が示されています。vf 6
にtrust on
のテキストが含まれている点に注意してください。 -
Networking サービス (neutron) ネットワークで
port_security_enabled: false
を設定した場合、あるいはopenstack port create
コマンドの実行時に引数--disable-port-security
を含める場合には、スプーフィングの確認を無効にできます。