第 18 章 配置允许的地址对
18.1. 允许的地址对概述
在 Red Hat OpenStack Platform (RHOSP) 网络环境中,允许的地址对用来识别特定的 MAC 地址、IP 地址或两者,以允许网络流量通过端口,而不考虑子网。当您定义允许的地址对时,您可以使用 VRRP (虚拟路由器冗余协议)等协议,该协议在两个虚拟机实例之间浮点数,以启用快速数据平面故障转移。其 IP 地址是允许对另一端口地址对的端口,称为虚拟端口(vport)。
在 RHOSP 联网环境中,在创建虚拟机实例时,请不要将实例绑定到虚拟端口 (vport)。反之,使用其 IP 地址不是另一个端口允许的地址对成员的端口。
将 vport 绑定到实例可防止实例生成并生成类似如下的错误消息:
WARNING nova.virt.libvirt.driver [req-XXXX - - - default default] [instance: XXXXXXXXX] Timeout waiting for [('network-vif-plugged', 'XXXXXXXXXX')] for instance with vm_state building and task_state spawning.: eventlet.timeout.Timeout: 300 seconds
您可以使用 Red Hat OpenStack Platform 命令行客户端 openstack port
命令定义允许的地址对。
请注意,您不应该将默认安全组与允许的地址对中的更广泛的 IP 地址范围一起使用。这样,可以允许单个端口为同一网络中的所有其他端口绕过安全组。
例如,这个命令会影响网络中的所有端口并绕过所有安全组:
# openstack port set --allowed-address mac-address=3e:37:09:4b,ip-address=0.0.0.0/0 9e67d44eab334f07bf82fa1b17d824b6
使用 ML2/OVN 机制驱动程序网络后端,可以创建 VIP。但是,使用 allowed_address_pairs
分配给绑定端口的 IP 地址应与虚拟端口 IP 地址(/32)匹配。
如果您将 CIDR 格式 IP 地址用于绑定端口 allowed_address_pairs
,则后端中没有配置端口转发,并且 CIDR 中任何 IP 的流量将无法访问绑定的 IP 端口。
其他资源