6.2. 仮想ネットワークインターフェースカード
6.2.1. 仮想 NIC プロファイルの概要
Virtual Network Interface (仮想 NIC) プロファイルは、Manager 内の個別の仮想マシンネットワークインターフェースに適用することができる設定値の集合体です。仮想 NIC プロファイルにより、ネットワーク QoS プロファイルを 仮想 NIC に適用して、ポートミラーリングを有効化/無効化したり、カスタムプロパティーを追加/削除したりできます。また、仮想 NIC プロファイルにより、管理における柔軟性が向上します。プロファイルを使用 (消費) するためのパーミッションを特定のユーザーに付与することができるので、特定のネットワークから異なるユーザーに提供されるサービス品質を制御することができます。
6.2.2. 仮想 NIC プロファイルの作成と編集
ユーザーおよびグループ用のネットワーク帯域幅を制御するための仮想ネットワークインターフェースコントローラー (仮想 NIC) プロファイルを作成/編集します。
注記
ポートミラーリングを有効化/無効化する場合には、変更する前に、関連付けられたプロファイルを使用している仮想マシンをすべて停止状態にする必要があります。
手順6.7 仮想 NIC プロファイルの作成と編集
- ネットワーク リソースタブをクリックし、結果一覧で論理ネットワークを選択します。
- 詳細ペインで 仮想 NIC プロファイル タブを選択します。ツリーモードで論理ネットワークを選択した場合には、ナビゲーションペインで 仮想 NIC プロファイル タブを選択することができます。
- 仮想マシンインターフェースのプロファイル ウィンドウが表示されます。または をクリックすると、
図6.2 仮想マシンインターフェースのプロファイルウィンドウ
- プロファイルの 名前 と 説明 を入力します。
- QoS 一覧から対象の QoS を選択します。
- 仮想マシンとの間で送受信するネットワークパケットのトラフィックを管理するには、ドロップダウンリストから ネットワークフィルター を選択します。ネットワークフィルターに関する詳しい情報は、『Red Hat Enterprise Linux 仮想化の導入および管理ガイド』の「ネットワークフィルター機能の適用」を参照してください。
- 仮想 NIC でパススルーを有効化して Virtual Function のデバイスの直接割り当てができるようにするには、パススルー チェックボックスを選択します。パススルーのプロパティーを有効にすると、QoS、ネットワークフィルター、およびポートミラーリングは互換性がないため無効になります。パススルーに関する詳しい説明は、「仮想 NIC プロファイルでのパススルーの有効化」を参照してください。
- ポートミラーリング および 全ユーザーにこのプロファイルの使用を許可する のチェックボックスを使用して、これらのオプションを切り替えます。
- カスタムプロパティーの一覧からカスタムプロパティーを 1 つ選択します。このフィールドには、デフォルトで キーを選択してください と表示されます。 および のボタンを使用して、カスタムプロパティーを追加または削除します。
仮想 NIC プロファイルを作成しました。このプロファイルをユーザーおよびグループに適用して、ネットワーク帯域幅を制御してください。仮想 NIC プロファイルを編集した場合には、仮想マシンを再起動するか、仮想 NIC をホットアンプラグしてからホットプラグする必要がある点に注意してください。
注記
ゲストオペレーティングシステムが、仮想 NIC のホットプラグとホットアンプラグをサポートする必要があります。
6.2.3. 仮想マシンインターフェースのプロファイルウィンドウの設定
フィールド名
|
説明
|
---|---|
ネットワーク
|
仮想 NIC プロファイルを適用することができるネットワークのドロップダウンリスト
|
名前
|
仮想 NIC プロファイルの名前。1 - 50 文字のアルファベットの大文字/小文字、数字、ハイフン、アンダースコアを任意に組み合わせた一意名にする必要があります。
|
説明 |
仮想 NIC プロファイルの説明。このフィールドは、必須ではありませんが、記入することを推奨します。
|
QoS |
仮想 NIC プロファイルに適用する利用可能なネットワーク QoS ポリシーのドロップダウンリスト。QoS ポリシーは仮想 NIC の受信/送信トラフィックを制御します。
|
ネットワークフィルター |
仮想 NIC プロファイルに適用可能なネットワークフィルターのドロップダウンリスト。ネットワークフィルターは、仮想マシンとの間で送受信できるパケットのタイプをフィルタリングすることにより、ネットワークのセキュリティーを強化します。デフォルトのフィルターは
vdsm-no-mac-spoofing です。これは、no-mac-spoofing と no-arp-mac-spoofing を組み合わせたフィルターです。libvirt によって提供されるネットワークフィルターについての詳しい情報は、『Red Hat Enterprise Linux 仮想化の導入および管理ガイド』の「既存のネットワークフィルター」のセクションを参照してください。
仮想マシンの VLAN およびボンディングには <ネットワークフィルターなし> を使用すべきです。信頼されている仮想マシンでは、ネットワークフィルターを使用しないと、パフォーマンスを向上させることができます。
|
パススルー |
パススルーのプロパティーを切り替えるためのチェックボックス。パススルーにより、仮想 NIC をホストの Virtual Function に直接接続することができます。仮想 NIC プロファイルが仮想マシンにアタッチされている場合には、パススループロパティーは編集できません。
パススルーを有効化した場合には、仮想 NIC プロファイルで QoS、ネットワークフィルター、ポートミラーリングが無効化されます。
|
ポートミラーリング |
ポートミラーリングを切り替えるためのチェックボックス。ポートミラーリングは、論理ネットワーク上のレイヤー 3 ネットワークトラフィックを仮想マシン上の仮想インターフェースにコピーします。デフォルトでは選択されません。詳しくは、『Technical Reference』の 「Port Mirroring」のセクションを参照してください。
|
デバイスのカスタムプロパティー |
仮想 NIC プロファイルに適用する利用可能なカスタムプロパティーを選択するためのドロップダウンメニュー。プロパティーを追加する場合は
ボタンを、削除する場合は ボタンを使用します。
|
全ユーザーにこのプロファイルの使用を許可する |
環境内の全ユーザーがこのプロファイルを利用できるかどうかの設定を切り替えるためのチェックボックス。デフォルトで選択されます。
|
6.2.4. 仮想 NIC プロファイルでのパススルーの有効化
仮想 NIC のパススループロパティーにより、SR-IOV を有効化した NIC の Virtual Function (VF) に仮想 NIC を直接接続することができるようになります。これにより仮想 NIC はソフトウェアのネットワーク仮想化を迂回して VF に直接接続され、デバイスの直接割り当てが可能になります。
仮想 NIC プロファイルがすでに仮想 NIC にアタッチされている場合には、パススループロパティーは有効化できません。以下の手順では、この問題を回避するために新規プロファイルを作成します。仮想 NIC にパススルーが有効化されている場合には、そのプロファイルの QoS とポートミラーリングは無効になります。
SR-IOV、デバイスの直接割り当て、およびそれらを Red Hat Virtualization に実装するにあたってハードウェアの考慮事項に関する詳しい情報は、『SR-IOV 実装に関するハードウェアの考慮事項』を参照してください。
手順6.8 パススルーの有効化
- ネットワーク の結果一覧から論理ネットワークを選択してから詳細ペインの 仮想 NIC プロファイル タブをクリックすると、その論理ネットワークの全仮想 NIC プロファイルが表示されます。
- 仮想マシンインターフェースのプロファイル ウィンドウが表示されます。をクリックすると、
- プロファイルの 名前 と 説明 を入力します。
- パススルー チェックボックスを選択します。これにより、QoS と ポートミラーリング が無効になります。
- 必要な場合には、カスタムプロパティーの一覧からカスタムプロパティーを 1 つ選択します。このフィールドには、デフォルトで キーを選択してください と表示されます。 および のボタンを使用して、カスタムプロパティーを追加または削除します。
仮想 NIC プロファイルがパススルー対応になりました。このプロファイルを使用して仮想マシンを直接 NIC または PCI VF にアタッチするには、その論理ネットワークを NIC にアタッチしてから、パススルーの仮想 NIC プロファイルを使用する任意の仮想マシン上で新規仮想 NIC を作成します。これらの手順については、それぞれ「ホストネットワークインターフェースの編集とホストへの論理ネットワークの割り当て」と『仮想マシン管理ガイド』の「新規ネットワークインターフェースの追加」のセクションを参照してください。
6.2.5. 仮想 NIC プロファイルの削除
仮想化環境から、仮想 NIC プロファイルを削除します。
手順6.9 仮想 NIC プロファイルの削除
- ネットワーク リソースタブをクリックし、結果一覧で論理ネットワークを選択します。
- 詳細ペインで プロファイル タブを選択すると、利用可能な仮想 NIC プロファイルが表示されます。ツリーモードで論理ネットワークを選択した場合には、ナビゲーションペインで 仮想 NIC プロファイル タブを選択することができます。
- プロファイルを 1 つまたは複数選択して 仮想マシンインターフェースのプロファイルの削除 ウィンドウが開きます。をクリックすると、
6.2.6. 仮想 NIC プロファイルへのセキュリティーグループの割り当て
注記
この機能は、OpenStack Neutron を統合する場合のみに利用することができます。Red Hat Virtualization Manager ではセキュリティーグループを作成できません。セキュリティーグループは、OpenStack 内で作成する必要があります。詳しくは、『Red Hat OpenStack Platform ユーザーおよびアイデンティティー管理ガイド』の https://access.redhat.com/documentation/ja-jp/red_hat_openstack_platform/9/html-single/users_and_identity_management_guide/#project-security を参照してください。
OpenStack Networking インスタンスからインポートした、Open vSwitch プラグインを使用するネットワークの仮想 NIC プロファイルにセキュリティーグループを割り当てることができます。セキュリティーグループとは、厳格に実行されるルールのコレクションで、ユーザーがネットワークインターフェース上で送受信トラフィックをフィルタリングできます。以下の手順では、セキュリティーグループを仮想 NIC プロファイルにアタッチする方法を説明します。
注記
セキュリティーグループは、OpenStack Networking インスタンスに登録されたのと同じセキュリティーグループの ID を使用して識別されます。特定のテナントのセキュリティーグループ ID を確認するには、OpenStack Networking がインストールされているシステムで以下のコマンドを実行します。
# neutron security-group-list
手順6.10 仮想 NIC プロファイルへのセキュリティーグループの割り当て
- ネットワーク タブをクリックし、結果一覧で論理ネットワークを選択します。
- 詳細ペインで 仮想 NIC プロファイル タブをクリックします。
- 仮想マシンインターフェースのプロファイル ウィンドウが開きます。をクリックするか、既存の仮想 NIC プロファイルを選択して をクリックすると、
- カスタムプロパティーのドロップダウンリストから SecurityGroups を選択します。カスタムプロパティーのドロップダウンを空欄のままにした場合には、デフォルトのセキュリティーグループが適用されます。デフォルトのセキュリティー設定は、すべての送信トラフィックと内部通信を許可しますが、デフォルトのセキュリティーグループ外からの受信トラフィックはすべて拒否します。後で SecurityGroups プロパティーを削除しても、適用済みのセキュリティーグループには影響を及ぼしません。
- テキストフィールドに仮想 NIC プロファイルにアタッチするセキュリティーグループの ID を入力します。
セキュリティーグループが仮想 NIC プロファイルにアタッチされました。そのプロファイルがアタッチされている論理ネットワークを通過するトラフィックはすべて、そのセキュリティーグループで定義されているルールに従ってフィルタリングされます。
6.2.7. 仮想NIC プロファイルのユーザーパーミッション
ユーザーを特定の仮想 NIC プロファイルに割り当てるためのユーザーパーミッションを設定します。プロファイルを使用できるようにするには、VnicProfileUser ロールをユーザーに割り当てます。ユーザーが特定のプロファイルを使用できないように制限するには、そのプロファイルからユーザーのパーミッションを削除します。
手順6.11 仮想NIC プロファイルのユーザーパーミッション
- ネットワーク タブをクリックし、結果一覧で論理ネットワークを選択します。
- 仮想 NIC プロファイル のリソースタブを選択すると仮想 NIC プロファイルが表示されます。
- 詳細ペインで パーミッション タブを選択すると、そのプロファイルに対する現在のユーザーパーミッションが表示されます。
- ユーザーへのシステム権限の追加 ウィンドウを開くか、 ボタンをクリックして パーミッションの削除 ウィンドウを開いて、仮想 NIC プロファイルに対するユーザーパーミッションの追加または削除を行います。ボタンをクリックして
仮想 NIC プロファイルのユーザーパーミッションの設定が完了しました。
6.2.8. UCS 統合のための仮想 NIC プロファイルの設定
Cisco の Unified Computing System (UCS) は、コンピューティング、ネットワーク、ストレージリソースなどのデータセンターの機能の管理に使用されます。
vdsm-hook-vmfex-dev
フックにより、仮想 NIC プロファイルを設定して、仮想マシンは Cisco の UCS で定義されたポートプロファイルに接続することができます。UCS で定義されたポートプロファイルには、UCS 内で仮想インターフェースを設定するのに使用するプロパティーと設定が含まれます。vdsm-hook-vmfex-dev
フックは、VDSM でデフォルトでインストールされます。詳しくは、「付録A VDSM とフック」を参照してください。
仮想 NIC を使用する仮想マシンを作成する際には、Cisco の仮想 NIC を使用します。
UCS 統合のための仮想 NIC プロファイルの設定手順では、カスタムデバイスプロパティーを最初に設定する必要があります。カスタムデバイスプロパティーの設定時には、既存の設定値はいずれも上書きされます。新規のカスタムプロパティーと既存のカスタムプロパティーを組み合わせる場合には、キー値の設定に使用するコマンドにすべてのカスタムプロパティーを含めてください。カスタムプロパティーを複数指定する場合には、セミコロンで区切ります。
注記
UCS ポートプロファイルは、仮想 NIC プロファイルを設定する前に、Cisco UCS で設定しておく必要があります。
手順6.12 カスタムデバイスプロパティーの設定
- Red Hat Virtualization Manager 上で、
vmfex
のカスタムプロパティーを設定し、--cver
を使用してクラスターの互換レベルを指定します。# engine-config -s CustomDeviceProperties='{type=interface;prop={vmfex=^[a-zA-Z0-9_.-]{2,32}$}}' --cver=3.6
vmfex
のカスタムプロパティーが追加されたことを確認します。# engine-config -g CustomDeviceProperties
- engine を再起動します。
# systemctl restart ovirt-engine.service
設定する仮想 NIC プロファイルは、新規または既存の論理ネットワークに属することができます。新規論理ネットワークの設定手順については、「データセンターまたはクラスター内での新規論理ネットワークの作成」を参照してください。
手順6.13 UCS 統合のための仮想 NIC プロファイルの設定
- ネットワーク リソースタブをクリックし、結果一覧で論理ネットワークを選択します。
- 詳細ペインで 仮想 NIC プロファイル タブを選択します。ツリーモードで論理ネットワークを選択すると、ナビゲーションペインで 仮想 NIC プロファイル タブを選択することができます。
- 仮想マシンインターフェースのプロファイル ウィンドウを開きます。または をクリックして、
- プロファイルの 名前 と 説明 を入力します。
- カスタムプロパティーの一覧から
vmfex
のカスタムプロパティーを選択して、UCS ポートプロファイル名を入力します。