第3章 ML2/OVS から ML2/OVN への移行

RHOSP 16.0 以降のすべての新規デプロイメントについて、Red Hat では ML2/OVN をデフォルトのメカニズムドライバーとして選択しました。これは、今日のほとんどのお客様にとって ML2/OVS メカニズムドライバー以上のメリットが即座に得られるためです。継続して ML2/OVN 機能セットの拡張および改善を行っているため、これらのメリットはリリースと共に拡大します。

既存の Red Hat OpenStack Platform (RHOSP) デプロイメントで ML2/OVS メカニズムドライバーが使用されている場合、ML2/OVS メカニズムドライバーを ML2/OVN メカニズムドライバーに置き換えるメリットおよび現実性の評価を今すぐ開始してください。

注記

ML2/OVS から ML2/OVN への移行を試みる前に、事前サポートケースを作成する必要があります。事前サポートケースを作成しない場合、Red Hat では移行をサポートしません。

この評価の初期段階で、Red Hat Technical Account Manager または Red Hat Global Professional Services との連携を始めてください。移行を選択した場合、必要な事前サポートケースの作成を支援するのに加えて、以下の基本的な質問から作業を開始して、Red Hat は計画および準備をお手伝いすることができます。

移行すべきか?
Red Hat では、ほとんどのデプロイメントで ML2/OVN が適切な選択であると考えています。さまざまな理由により、一部のデプロイメントでは、ML2/OVS の使用がより適切です。「ML2/OVN メカニズムドライバーの制約」および「ML2/OVS から ML2/OVN へのインプレースマイグレーション: 検証済みのシナリオおよび禁止されるシナリオ」を参照してください。
いつ移行すべきか?
タイミングは、お客様のビジネスニーズや Red Hat による ML2/OVN オファリングに対する継続的な改善のステータスなど、多くの要素に依存します。たとえば、セキュリティーグループのロギングは、RHOSP の今後のリリースで予定されています。この機能が必要な場合は、この機能が利用可能になった後に移行を計画する方が望ましいでしょう。「ML2/OVN メカニズムドライバーの制約」を参照してください。
インプレースマイグレーションか並列移行か?

さまざまな要因に応じて、以下の移行の基本アプローチのいずれかを選択できます。

  • 並列移行: ML2/OVN を使用する新しい並列デプロイメントを作成し、運用をそのデプロイメントに移動します。
  • インプレースマイグレーション: 本書で説明するように、ovn-migration.sh スクリプトを使用します。Red Hat は、RHOSP director が管理するデプロイメントでのみ ovn_migration.sh スクリプトをサポートする点に注意してください。

ovs-firewall ファイアウォールドライバーを使用した状態で、ML2/OVS から ML2/OVN メカニズムドライバーに移行することができます。iptables_hybrid ファイアウォールドライバーを使用する移行はサポートされていません。iptables_hybrid デプロイメントで使用される中間 linux_bridge インターフェースは、移行ツールと互換性がありません。

警告

ML2/OVS から ML2/OVN への移行により、環境が完全に回復できない可能性がある方法で環境が変更されます。移行が失敗した場合や中断した場合には、OpenStack 環境が動作不能のままになる可能性があります。実稼働環境で移行を行う前に、事前サポートケースを作成します。次に、Red Hat Technical Account Manager または Red Hat Global Professional Services と連携してバックアップおよび移行プランを作成し、実稼働環境に極めて近いステージ環境で移行をテストします。

3.1. ML2/OVN メカニズムドライバーの制約

ML2/OVS メカニズムドライバーで利用可能な機能の一部は、ML2/OVN メカニズムドライバーではまだサポートされていません。

3.1.1. ML2/OVN ではまだサポートされていない ML2/OVS 機能

機能備考本機能の経緯

VLAN プロジェクト (テナント) ネットワーク上での分散仮想ルーター (DVR) と OVN の組み合わせ

FIP トラフィックは、ML2/OVN および DVR を使用する VLAN テナントネットワークに渡されません。

DVR は、新規の ML2/OVN デプロイメントおよび DVR が有効化された ML2/OVS デプロイメントから移行された ML2/OVN デプロイメントでデフォルトで有効にされます。VLAN テナントネットワークで OVN を使用する必要がある場合は、DVR を無効にすることができます。DVR を無効にするには、環境ファイルに以下の行を追加します。

parameter_defaults:
  NeutronEnableDVR: false

Bug 1704596 Bug 1766930

East-West UDP/ICMP トラフィックにおけるパケットの断片化

East-West トラフィックでは、OVN は East-West パスの最少 MTU を超えるパケットの断片化をまだサポートしていません。以下に例を示します。

  • VM1 は、MTU が 1300 に設定された Network1 上にある。
  • VM2 は、MTU が 1200 に設定された Network2 上にある。
  • サイズが 1171 以下の VM1/VM2 間の ping は、どちらの方向も成功します。サイズが 1171 を超える ping は、すべてパケットロスになります。

Bug 1891591

ポート転送

OVN ではポート転送はサポートされません。

https://bugzilla.redhat.com/show_bug.cgi?id=1654608

https://blueprints.launchpad.net/neutron/+spec/port-forwarding

セキュリティーグループロギング API

ML2/OVN では、セキュリティーグループイベント (インスタンスが制限された操作の実行やリモートサーバーの制限されたポートへのアクセスを試みるケース) を記録するログファイルを利用することはできません。

Bug 1619266

OVN と DHCP の組み合わせでのベアメタルマシンのプロビジョニング

OVN 上の組み込み型 DHCP サーバーは、現状ベアメタルノードをプロビジョニングすることができません。プロビジョニングネットワーク用に、DHCP を提供することができません。iPXE のチェーンブートにはタグ付け (dnsmasq の --dhcp-match) が必要ですが、OVN DHCP サーバーではサポートされていません。

https://bugzilla.redhat.com/show_bug.cgi?id=1622154

3.1.2. OVN に関する主な制約

外部ポートは論理ルーターのゲートウェイポートと共存しないため、VLAN テナントネットワークでは、VF (直接) ポートでの North-South ルーティングは SR-IOV では機能しない。Bug #1875852 を参照してください。