17장. 허용된 주소 쌍 구성
17.1. 허용되는 주소 쌍의 개요
허용되는 주소 쌍은 특정 MAC 주소, IP 주소 또는 둘 다 서브넷에 관계없이 네트워크 트래픽이 포트를 통과하도록 허용하는 경우입니다. 허용된 주소 쌍을 정의할 때 빠른 데이터 플레인 페일오버를 활성화하기 위해 두 VM 인스턴스 간에 IP 주소를 복제하는 VRRP(Virtual Router Redundancy Protocol)와 같은 프로토콜을 사용할 수 있습니다.
Red Hat OpenStack Platform 명령줄 클라이언트 openstack port 명령을 사용하여 허용되는 주소 쌍을 정의합니다.
중요
허용되는 주소 쌍에서 더 넓은 IP 주소 범위를 가진 default 보안 그룹을 사용해서는 안 됩니다. 이렇게 하면 단일 포트가 동일한 네트워크 내의 다른 모든 포트에 대해 보안 그룹을 우회할 수 있습니다.
예를 들어 이 명령은 네트워크의 모든 포트에 영향을 미치고 모든 보안 그룹을 무시합니다.
# openstack port set --allowed-address mac-address=3e:37:09:4b,ip-address=0.0.0.0/0 9e67d44eab334f07bf82fa1b17d824b6
참고
ML2/OVN 메커니즘 드라이버 네트워크 백엔드를 사용하면 VIP를 생성할 수 있습니다. 그러나 allowed_address_cidrs를 사용하여 바인딩된 포트에 할당된 IP 주소는 가상 포트 IP 주소(/32)와 일치해야 합니다.
대신 바인딩된 포트에 CIDR 형식 IP 주소를 사용하는 경우 포트 전달은 백엔드에 구성되지 않으며 바인딩된 IP 포트에 도달하는 데 필요한 CIDR의 모든 IP에 대한 트래픽이 실패합니다.
