10.3. 使用可信 VF 网络
创建类型为
vlan
的网络。openstack network create trusted_vf_network --provider-network-type vlan \ --provider-segment 111 --provider-physical-network sriov2 \ --external --disable-port-security
创建子网。
openstack subnet create --network trusted_vf_network \ --ip-version 4 --subnet-range 192.168.111.0/24 --no-dhcp \ subnet-trusted_vf_network
创建端口。将
vnic-type
选项设置为direct
,将binding-profile
选项设置为true
。openstack port create --network sriov111 \ --vnic-type direct --binding-profile trusted=true \ sriov111_port_trusted
创建一个实例,并将它绑定到之前创建的可信端口。
openstack server create --image rhel --flavor dpdk --network internal --port trusted_vf_network_port_trusted --config-drive True --wait rhel-dpdk-sriov_trusted
验证
确认虚拟机监控程序上的可信 VF 配置:
在您创建的实例的计算节点上,输入以下命令:
# ip link 7: p5p2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9000 qdisc mq state UP mode DEFAULT group default qlen 1000 link/ether b4:96:91:1c:40:fa brd ff:ff:ff:ff:ff:ff vf 6 MAC fa:16:3e:b8:91:c2, vlan 111, spoof checking off, link-state auto, trust on, query_rss off vf 7 MAC fa:16:3e:84:cf:c8, vlan 111, spoof checking off, link-state auto, trust off, query_rss off
-
验证 上 VF 的信任状态是
信任
。示例输出中包含包含两个端口的环境的详细信息。请注意,vf 6
包含上的文本信任
。 -
如果您在网络服务(neutron)网络中设置了
port_security_enabled: false
,或者在运行openstack port create
命令时包含参数--disable-port-security
,可以禁用 spoof 检查。