9.3. 신뢰할 수 있는 가상 함수

VF가 불규칙 모드 활성화 또는 하드웨어 주소 수정과 같은 권한 있는 작업을 수행할 수 있도록 물리적 기능(PF)과 VF(가상 기능) 간 신뢰성을 구성할 수 있습니다.

9.3.1. 가상 기능과 물리적 기능 간의 신뢰 구성

사전 요구 사항
  • director를 포함한 Red Hat OpenStack Platform의 운영 설치
절차

실제 및 가상 기능 간에 신뢰가 있는 오버클라우드를 구성하고 배포하려면 다음 단계를 완료합니다.

  1. parameter_defaults 섹션에 NeutronPhysicalDevMappings 매개변수를 추가하여 논리적 네트워크 이름과 실제 인터페이스 간에 연결합니다.

    parameter_defaults:
      NeutronPhysicalDevMappings:
        - sriov2:p5p2
  2. SR-IOV 매개 변수에 신뢰할 수 있는 새 속성을 추가합니다.

    parameter_defaults:
      NeutronPhysicalDevMappings:
        - sriov2:p5p2
      NovaPCIPassthrough:
        - vendor_id: "8086"
          product_id: "1572"
          physical_network: "sriov2"
          trusted: "true"
    참고

    "true" 값에 대해 겹따옴표가 포함되어야 합니다.

9.3.2. 신뢰할 수 있는 VF 네트워크 사용

  1. 유형 vlan 으로 네트워크를 만듭니다.

    openstack network create trusted_vf_network  --provider-network-type vlan \
     --provider-segment 111 --provider-physical-network sriov2 \
     --external --disable-port-security
  2. 서브넷을 만듭니다.

    openstack subnet create --network trusted_vf_network \
      --ip-version 4 --subnet-range 192.168.111.0/24 --no-dhcp \
     subnet-trusted_vf_network
  3. 포트를 만듭니다. vnic-type 옵션을 direct 로 설정하고 binding-profile 옵션을 true로 설정합니다.

    openstack port create --network sriov111 \
    --vnic-type direct --binding-profile trusted=true \
    sriov111_port_trusted
  4. 인스턴스를 생성하고 이전에 생성한 신뢰할 수 있는 포트에 바인딩합니다.

    openstack server create --image rhel --flavor dpdk  --network internal --port trusted_vf_network_port_trusted --config-drive True --wait rhel-dpdk-sriov_trusted

하이퍼바이저에서 신뢰할 수 있는 VF 구성 확인

  1. 인스턴스를 생성한 계산 노드에서 다음 명령을 입력합니다.

    # ip link
    7: p5p2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9000 qdisc mq state UP mode DEFAULT group default qlen 1000
        link/ether b4:96:91:1c:40:fa brd ff:ff:ff:ff:ff:ff
        vf 6 MAC fa:16:3e:b8:91:c2, vlan 111, spoof checking off, link-state auto, trust on, query_rss off
        vf 7 MAC fa:16:3e:84:cf:c8, vlan 111, spoof checking off, link-state auto, trust off, query_rss off
  2. VF의 신뢰 상태가 신뢰할 수 있는지 확인합니다 . 예제 출력에는 두 개의 포트가 포함된 환경의 세부 정보가 포함되어 있습니다. vf 6 에는 에 대한 텍스트 신뢰가 포함되어 있습니다.
  3. 네트워킹 서비스(neutron) 네트워크에서 port_security_enabled: false 를 설정했는지 또는 openstack port create 명령을 실행할 때 --disable-port-security 인수를 포함하는 경우 스푸핑 검사를 비활성화할 수 있습니다.