第 17 章 配置允许的地址对
17.1. 允许的地址对概述
允许的地址对是您 识别特定的 MAC 地址、IP 地址或两者时,无论子网是什么,网络流量都可以通过端口通过。当您定义允许的地址对时,您可以使用 VRRP (虚拟路由器冗余协议)的协议,该协议在两个虚拟机实例之间浮点 IP 地址以启用快速数据平面故障转移。
您可以使用 Red Hat OpenStack Platform 命令行客户端 openstack port
命令定义允许的地址对。
重要
请注意,您不应该在允许的地址对中使用带有更广泛的 IP 地址范围的默认安全组。这样做可让单个端口为同一网络中的所有其他端口绕过安全组。
例如,这个命令会影响网络中的所有端口并绕过所有安全组:
# openstack port set --allowed-address mac-address=3e:37:09:4b,ip-address=0.0.0.0/0 9e67d44eab334f07bf82fa1b17d824b6
注意
使用 ML2/OVN 机制驱动程序网络后端,可以创建 VIP。但是,使用 allowed_address_pairs
分配给绑定端口的 IP 地址应与虚拟端口 IP 地址(/32)匹配。
如果您将 CIDR 格式 IP 地址用于绑定的端口 allowed_address_pairs
,则后端中没有配置端口转发,并且 CIDR 中任何 IP 的流量都无法访问绑定 IP 端口。
其他资源
- 命令行界面参考中的 端口命令
- 第 17.2 节 “创建端口并允许一个地址对”
- 第 17.3 节 “添加允许的地址对”