Режим Сетевой мост

В данном сетевом режиме трафик ВМ напрямую передается через существующий сетевой мост на серверах виртуализации. При этом устанавливается один из режимов фильтрации трафика, применяемой в сети:

• режим «сетевой мост без фильтрации» (Bridged);

• режим «сетевой мост с группами безопасности» (Bridged with Security Groups, далее по тексту Security Group) — устанавливаются правила iptables для внедрения правил групп безопасности;

• режим «сетевой мост с правилами ebtables» (Bridged with ebtables isolation, далее по тексту Ebtables VLAN) — тоже что и для режима Security Group, но с дополнительными правилами ebtables для изоляции (L2) всех виртуальных сетей.

Особенности и ограничения

При фильтрации трафика необходимо учитывать следующее: - в режимах Bridged и Security Group можно добавлять тегированные сетевые интерфейсы для обеспечения сетевой изоляции. Данный режим является рекомендуемой стратегией развертывания в работающих системах (не тестовых); - режим ebtables VLAN предназначен для небольших сред без соответствующей аппаратной поддержки для внедрения сетей VLANS. Данный режим ограничен сетями с длиной префикса 24 бита (/24) и IP-адреса не могут перекрываться в виртуальных сетях. Рекомендуется только для целей тестирования.

Предупреждение

По умолчанию при удалении ВМ на сервере виртуализации также будет удален существующий сетевой мост, если он больше не используется ни одной ВМ.

Для того чтобы незадействованный сетевой мост не удалялся, необходимо в конфигурационном файле /var/lib/one/remotes/etc/vnm/OpenNebulaNetwork.conf установить следующее значение параметра keep_empty_bridge:

:keep_empty_bridge: true

Настройка сервера виртуализации

Предупреждение

Действия по настройке ПВ для использования виртуальных сетей выполняются в ОС СН под учетной записью администратора ОС СН с высоким уровнем целостности.

Для настройки данного сетевого режима необходимо выполнение следующих требований:

• на сервере виртуализации необходимо установить пакет bridge-utils;

• если планируется использовать режим фильтрации ebtables VLAN, на узлы необходимо установить пакет ebtables, который по умолчанию обеспечивает изоляцию сети.

На сервере виртуализации необходимо создать сетевой мост для каждой сети, в которой будут работать виртуальные машины. При этом следует использовать одно имя сети на всех узлах.

Примечание

Пример

Содержание файла /etc/network/interfaces c настройками сетевого моста:

auto eth0 iface eth0 inet manual auto br0 iface br0 inet static bridge_ports eth0 address 172.16.1.20 netmask 255.255.255.0
gateway 172.16.1.1

Настройка сервера управления

Режим Сетевой мост не требует специальных настроек.

Создание сети

Предупреждение

Действия по созданию виртуальных сетей в ПВ выполняются под учетной записью администратора ПВ.

Для создания сети необходимо указать параметры, приведенные в таблице:

Параметр	Значение	Обязательный
NAME	Имя облачной сети	ДА
VN_MAD	bridge — для режима без фильтрации; fw — для режима фильтрации с группами безопасности; ebtables — для режима фильтрации с изоляцией ebtables	ДА
BRIDGE	Имя сетевого моста в узлах виртуализации	ДА

Примечание

Примеры

1. Создание облачной сети с использованием конфигурационного файла. Будет создана облачная сеть, работающая в режиме сетевой мост с использованием режима фильтрации Security Group:

1. создать файл new-net.conf со следующим содержанием:

NAME = "bridged_net"
VN_MAD = "fw" BRIDGE = "vbr1"

2. выполнить команду:

onevnet create new-net.conf

Пример вывода после выполнения команды:

ID: 1

2. Правила ebtables, которые создаются при необходимости отладки настройки:

# Игнорировать пакеты, которые не соответствуют MAC-адресу сети
-s ! <mac_address>/ff:ff:ff:ff:ff:0 -o <tap_device> -j DROP
# Предотвратить MAC-спуфинг
-s ! <mac_address> -i <tap_device> -j DROP