第 18 章 配置允许的地址对


18.1. 允许的地址对概述

在 Red Hat OpenStack Platform (RHOSP) 网络环境中,允许的地址对用来识别特定的 MAC 地址、IP 地址或两者,以允许网络流量通过端口,而不考虑子网。当您定义允许的地址对时,您可以使用 VRRP (虚拟路由器冗余协议)等协议,该协议在两个虚拟机实例之间浮点数,以启用快速数据平面故障转移。其 IP 地址是允许对另一端口地址对的端口,称为虚拟端口(vport)。

重要

在 RHOSP 联网环境中,在创建虚拟机实例时,请不要将实例绑定到虚拟端口 (vport)。反之,使用其 IP 地址不是另一个端口允许的地址对成员的端口。

将 vport 绑定到实例可防止实例生成并生成类似如下的错误消息:

WARNING nova.virt.libvirt.driver [req-XXXX - - - default default] [instance: XXXXXXXXX] Timeout waiting for [('network-vif-plugged', 'XXXXXXXXXX')] for instance with vm_state building and task_state spawning.: eventlet.timeout.Timeout: 300 seconds

您可以使用 Red Hat OpenStack Platform 命令行客户端 openstack port 命令定义允许的地址对。

重要

请注意,您不应该将默认安全组与允许的地址对中的更广泛的 IP 地址范围一起使用。这样,可以允许单个端口为同一网络中的所有其他端口绕过安全组。

例如,这个命令会影响网络中的所有端口并绕过所有安全组:

# openstack port set --allowed-address mac-address=3e:37:09:4b,ip-address=0.0.0.0/0 9e67d44eab334f07bf82fa1b17d824b6
注意

使用 ML2/OVN 机制驱动程序网络后端,可以创建 VIP。但是,使用 allowed_address_pairs 分配给绑定端口的 IP 地址应与虚拟端口 IP 地址(/32)匹配。

如果您将 CIDR 格式 IP 地址用于绑定端口 allowed_address_pairs,则后端中没有配置端口转发,并且 CIDR 中任何 IP 的流量将无法访问绑定的 IP 端口。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.