Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 9 章 调优 Red Hat OpenStack Platform 环境

9.1. 可信虚拟功能
复制链接

您可以配置物理功能(PF)来信任虚拟功能(VF),以便 VF 能够执行一些特权操作。例如,您可以使用此配置来允许 VF 启用混杂模式或更改硬件地址。

9.1.1. 提供信任
复制链接

前提条件
  • 操作安装 Red Hat OpenStack Platform director
流程

完成以下步骤,使用必要的参数部署 overcloud,以启用虚拟功能的物理功能信任:

  1. parameter_defaults 部分下添加 NeutronPhysicalDevMappings 参数,以在逻辑网络名称和物理接口之间建立链接。 

    parameter_defaults:
  NeutronPhysicalDevMappings:
    - sriov2:p5p2
    Copy to Clipboard Toggle word wrap

  2. 将新属性"trusted"添加到与 SR-IOV 相关的现有参数。 

    parameter_defaults:
  NeutronPhysicalDevMappings:
    - sriov2:p5p2
  NeutronSriovNumVFs: ["p5p2:8"]
  NovaPCIPassthrough:
    - vendor_id: "8086"
      product_id: "1572"
      physical_network: "sriov2"
      trusted: "true"
    Copy to Clipboard Toggle word wrap
    注意

    您必须包含 "true" 值的引号。

    重要

    仅在可信环境中完成以下步骤。此步骤将允许非管理员用户绑定可信端口。

  3. 修改权限,以允许用户创建和更新端口绑定。 

    parameter_defaults:
  NeutronApiPolicies: {
    operator_create_binding_profile: { key: 'create_port:binding:profile', value: 'rule:admin_or_network_owner'},
    operator_get_binding_profile: { key: 'get_port:binding:profile', value: 'rule:admin_or_network_owner'},
    operator_update_binding_profile: { key: 'update_port:binding:profile', value: 'rule:admin_or_network_owner'}
  }
    Copy to Clipboard Toggle word wrap

9.1.2. 使用可信虚拟功能
复制链接

在完全部署的 overcloud 上执行以下命令,以利用可信的虚拟功能。

创建可信 VF 网络

  1. 创建类型为 vlan 的网络。 

    openstack network create trusted_vf_network  --provider-network-type vlan \
 --provider-segment 111 --provider-physical-network sriov2 \
 --external --disable-port-security
    Copy to Clipboard Toggle word wrap

  2. 创建子网。 

    openstack subnet create --network trusted_vf_network \
  --ip-version 4 --subnet-range 192.168.111.0/24 --no-dhcp \
 subnet-trusted_vf_network
    Copy to Clipboard Toggle word wrap

  3. 创建一个端口,将 vnic-type 选项设置为 direct,并将 binding-profile 选项设置为 true。 

    openstack port create --network sriov111 \
--vnic-type direct --binding-profile trusted=true \
sriov111_port_trusted
    Copy to Clipboard Toggle word wrap

  4. 创建一个实例绑定,将其绑定到之前创建的可信端口。 

    openstack server create --image rhel --flavor dpdk  --network internal --port trusted_vf_network_port_trusted --config-drive True --wait rhel-dpdk-sriov_trusted
    Copy to Clipboard Toggle word wrap

验证 hypervior 上的可信虚拟功能配置

在托管新创建的实例的计算节点上,运行以下命令: 

# ip link
7: p5p2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9000 qdisc mq state UP mode DEFAULT group default qlen 1000
    link/ether b4:96:91:1c:40:fa brd ff:ff:ff:ff:ff:ff
    vf 6 MAC fa:16:3e:b8:91:c2, vlan 111, spoof checking off, link-state auto, trust on, query_rss off
    vf 7 MAC fa:16:3e:84:cf:c8, vlan 111, spoof checking off, link-state auto, trust off, query_rss off
Copy to Clipboard Toggle word wrap

查看 ip link 命令的输出,并验证虚拟功能的信任状态 是否在 上信任。示例输出包含包含两个端口的环境的详细信息。请注意,vf 6 包含 上的文本信任

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat