Ctrl+K
Ctrl+K
PDF
Ctrl+K
PDF

Версии

Режим Сетевой мост

Режим Сетевой мост#

В данном сетевом режиме трафик ВМ напрямую передается через существующий сетевой мост в узлах виртуализации. При этом устанавливается один из режимов фильтрации трафика, применяемой в облачной сети:

  • режим «сетевой мост без фильтрации» (Bridged);

  • режим «сетевой мост с группами безопасности» (Bridged with Security Groups, далее по тексту Security Group) — устанавливаются правила iptables для внедрения правил групп безопасности;

  • режим «сетевой мост с правилами ebtables» (Bridged with ebtables isolation, далее по тексту ebtables VLAN) — тоже что и для режима Security Group, но с дополнительными правилами ebtables для изоляции (L2) всех виртуальных сетей.

Особенности и ограничения#

При фильтрации трафика необходимо учитывать следующее: - в режимах Bridged и Security Group можно добавлять тегированные сетевые интерфейсы для обеспечения сетевой изоляции. Данный режим является рекомендуемой стратегией развертывания в работающих системах (не тестовых); - режим ebtables VLAN предназначен для небольших сред без соответствующей аппаратной поддержки для внедрения сетей VLANS. Данный режим ограничен сетями с длиной префикса 24 бита (/24) и IP-адреса не могут перекрываться в виртуальных сетях. Рекомендуется только для целей тестирования.

Настройка узла виртуализации#

Для настройки данного сетевого режима необходимо выполнение следующих требований: - на узлы виртуализации необходимо установить пакет bridge-utils; - если планируется использовать режим фильтрации ebtables VLAN, на узлы необходимо установить пакет ebtables, который по умолчанию обеспечивает изоляцию сети.

На узле виртуализации необходимо создать сетевой мост для каждой сети, в которой будут работать виртуальные машины. При этом следует использовать одно имя сети на всех узлах.

Примечание

Пример

Содержание файла /etc/network/interfaces c настройками сетевого моста:

auto eth0 iface eth0 inet manual auto br0 iface br0 inet static bridge_ports eth0 address 172.16.1.20 netmask 255.255.255.0
gateway 172.16.1.1

Настройка фронтальной машины#

Облачная сеть, функционирующая режиме Сетевой мост, не требует специальных настроек.

Создание облачной сети#

Для создания сети необходимо указать параметры, приведенные в таблице:

Параметр

Значение

Обязательный

NAME

Имя облачной сети

ДА

VN_MAD

bridge — для режима без фильтрации; fw — для режима фильтрации с группами безопасности; ebtables — для режима фильтрации с изоляцией ebtables

ДА

BRIDGE

Имя сетевого моста в узлах виртуализации

ДА

Примечание

Примеры

  1. Создание облачной сети с использованием конфигурационного файла. Будет создана облачная сеть, работающая в режиме сетевой мост с использованием режима фильтрации Security Group:

  1. создать файл new-net.conf со следующим содержанием:

NAME = "bridged_net"
VN_MAD = "fw" BRIDGE = "vbr1"

  1. выполнить команду:

onevnet create new-net.conf

Пример вывода после выполнения команды:

ID: 1

  1. Правила ebtables, которые создаются при необходимости отладки настройки:

# Игнорировать пакеты, которые не соответствуют MAC-адресу сети
-s ! <mac_address>/ff:ff:ff:ff:ff:0 -o <tap_device> -j DROP
# Предотвратить MAC-спуфинг
-s ! <mac_address> -i <tap_device> -j DROP
Содержание