Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 6 章 配置允许的地址对

在 OpenShift (RHOSO)网络环境中的 Red Hat OpenStack Services 中,允许的地址对是您识别特定的 MAC 地址、IP 地址或两者时,允许网络流量通过端口来传递端口,而不考虑子网。当您定义允许的地址对时,您可以使用 VRRP (虚拟路由器冗余协议)等协议,该协议在两个虚拟机实例之间浮点数,以启用快速数据平面故障转移。其 IP 地址是允许对另一端口地址对的端口,称为虚拟端口(vport)。

您可以使用 OpenStack 命令行客户端 openstack port 命令定义允许的地址对。

本节包含以下主题:

6.1. 允许的地址对的使用规则
复制链接

当在 OpenShift (RHOSO)网络环境中使用 Red Hat OpenStack Services 中允许的地址对时,您必须遵循这些规则:

  • 在创建虚拟机实例时,请不要将实例绑定到虚拟端口(vport)。反之,使用其 IP 地址不是另一个端口允许的地址对成员的端口。

    将 vport 绑定到实例可防止实例生成并生成类似如下的错误消息: 

    WARNING nova.virt.libvirt.driver [req-XXXX - - - default default] [instance: XXXXXXXXX] Timeout waiting for [('network-vif-plugged', 'XXXXXXXXXX')] for instance with vm_state building and task_state spawning.: eventlet.timeout.Timeout: 300 seconds
    Copy to Clipboard Toggle word wrap

  • 可以创建 VIP。但是,使用 allowed_address_pairs 分配给绑定端口的 IP 地址应当与虚拟端口 IP 地址(/32)匹配。

    如果您将 CIDR 格式 IP 地址用于绑定端口 allowed_address_pairs,则不会在后端中配置端口转发,并且 CIDR 中预期到达绑定 IP 端口的任何 IP 的流量会失败。

  • 不要在允许的地址对中使用更广泛的 IP 地址范围的默认安全组。

    这样做可让单个端口为同一网络中的所有其他端口绕过安全组。

    例如,这个命令会影响网络中的所有端口并绕过所有安全组: 

    $ openstack port set --allowed-address \
mac-address=3e:37:09:4b,ip-address=0.0.0.0/0 \
9e67d44eab334f07bf82fa1b17d824b6
    Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat