2.5. Open vSwitch ファイアウォールの使用
Red Hat OpenStack Platform director の Open vSwitch (OVS) ファイアウォールドライバーを使用するように、セキュリティーグループを設定することができます。NeutronOVSFirewallDriver
パラメーターを使用して、使用するファイアウォールドライバーを指定します。
-
iptables_hybrid
- Networking サービス (neutron) が iptables/ハイブリッドベースの実装を使用するように設定します。 -
openvswitch
- Networking サービスが OVS ファイアウォールのフローベースのドライバーを使用するように設定します。
openvswitch
ファイアウォールドライバーはパフォーマンスがより高く、ゲストをプロジェクトネットワークに接続するためのインターフェイスとブリッジの数を削減します。
Open vSwitch (OVS) ファイアウォールドライバーによるマルチキャストトラフィックの処理は、iptables ファイアウォールドライバーの場合とは異なります。iptables の場合、デフォルトでは VRRP トラフィックは拒否されます。したがって、VRRP トラフィックがエンドポイントに到達できるようにするには、セキュリティーグループルールで VRRP を有効にする必要があります。OVS の場合、すべてのポートが同じ OpenFlow コンテキストを共有し、ポートごとに個別にマルチキャストトラフィックを処理することはできません。セキュリティーグループはすべてのポート (ルーター上のポートなど) には適用されないため、OVS は RFC 4541 の定義に従って NORMAL
アクションを使用してマルチキャストトラフィックを全ポートに転送します。
iptables_hybrid
オプションは、OVS-DPDK との互換性はありません。openvswitch
オプションには、OVS ハードウェアオフロードとの互換性はありません。
network-environment.yaml
ファイルで NeutronOVSFirewallDriver
パラメーターを設定します。
NeutronOVSFirewallDriver: openvswitch
-
NeutronOVSFirewallDriver
: セキュリティーグループを実装する時に使用するファイアウォールドライバーの名前を設定します。設定可能な値は、お使いのシステム設定により異なります。たとえば、noop
、openvswitch
、およびiptables_hybrid
です。デフォルト値である空の文字列を指定すると、サポートされている設定となります。