第6章 許可するアドレスペアの設定

仮想マシンインスタンスを作成するときは、インスタンスを仮想ポート (vport) にバインドしないでください。代わりに、IP アドレスが別のポートの許可するアドレスペアのメンバーではないポートを使用します。

vport をインスタンスにバインドすると、インスタンスが生成されなくなり、次のようなエラーメッセージが表示されます。

WARNING nova.virt.libvirt.driver [req-XXXX - - - default default] [instance: XXXXXXXXX] Timeout waiting for [('network-vif-plugged', 'XXXXXXXXXX')] for instance with vm_state building and task_state spawning.: eventlet.timeout.Timeout: 300 seconds

仮想 IP の作成が可能です。ただし、allowed_address_pairs を使用するバインドポートに割り当てられる IP アドレスは、仮想ポートの IP アドレス (/32) と一致する必要があります。

代わりに、バインドされたポート allowed_address_pairs に CIDR 形式の IP アドレスを使用すると、バックエンドでポート転送が設定されず、CIDR 範囲内の IP からのトラフィックは、バインドされた IP ポートに到達できません。

許可するアドレスペアでは、より広い IP アドレス範囲を持つデフォルトのセキュリティーグループを使用しないでください。

そうしないと、1 つのポートが同じネットワーク内の他のすべてのポートのセキュリティーグループをバイパスできてしまいます。

たとえば、以下のコマンドはネットワーク内のすべてのポートに影響を与え、すべてのセキュリティーグループをバイパスします。

$ openstack port set --allowed-address \
mac-address=3e:37:09:4b,ip-address=0.0.0.0/0 \
9e67d44eab334f07bf82fa1b17d824b6