第17章 許可するアドレスペアの設定
17.1. 許可するアドレスペアの概要
Red Hat OpenStack Platform (RHOSP) ネットワーク環境では、許可するアドレスペア は、特定の MAC アドレス、IP アドレス、またはその両方を指定して、サブネットに関係なくネットワークトラフィックがポートを通過できるようにする際に設定します。許可するアドレスペアを定義すると、Virtual Router Redundancy Protocol (VRRP) などのプロトコルを使用できます。このプロトコルでは、2 つの仮想マシンインスタンス間で IP アドレスをフローティングして、迅速なデータプレーンのフェイルオーバーが可能となります。IP アドレスが別のポートの許可するアドレスペアのメンバーであるポートは、仮想ポート (vport) と呼ばれます。
Red Hat OpenStack Platform コマンドラインクライアントの openstack port コマンドを使用して、許可するアドレスペアを定義します。
許可するアドレスペアでは、より広い IP アドレス範囲を持つデフォルトのセキュリティーグループを使用しないように注意してください。そうしないと、1 つのポートが同じネットワーク内の他のすべてのポートのセキュリティーグループをバイパスできてしまいます。
たとえば、以下のコマンドはネットワーク内のすべてのポートに影響を与え、すべてのセキュリティーグループをバイパスします。
# openstack port set --allowed-address mac-address=3e:37:09:4b,ip-address=0.0.0.0/0 9e67d44eab334f07bf82fa1b17d824b6
ML2/OVN メカニズムドライバーネットワークバックエンドを使用すると、仮想 IP を作成することができます。ただし、allowed_address_pairs を使用するバインドポートに割り当てられる IP アドレスは、仮想ポートの IP アドレス (/32) と一致する必要があります。
バインドポート allowed_address_pairs に CIDR 形式の IP アドレスを使用する場合には、ポート転送はバックエンドで設定されず、バインドされた IP ポートに到達できる必要のある CIDR の IP でトラフィックが失敗します。
関連情報
- コマンドラインインターフェイスリファレンスの port
- 「ポートの作成および 1 つのアドレスペアの許可」
- 「許可するアドレスペアの追加」
