18.5. Open vSwitch 방화벽 사용
Red Hat OpenStack Platform director에서 OVS(Open vSwitch) 방화벽 드라이버를 사용하도록 보안 그룹을 구성할 수 있습니다. NeutronOVSFirewallDriver 매개변수를 사용하여 사용하려는 방화벽 드라이버를 지정합니다.
-
iptables_hybrid- iptables/hybrid 기반 구현을 사용하도록 네트워킹 서비스(neutron)를 구성합니다. -
openvswitch- OVS 방화벽 흐름 기반 드라이버를 사용하도록 네트워킹 서비스를 구성합니다.
openvswitch 방화벽 드라이버는 성능이 향상되고 게스트를 프로젝트 네트워크에 연결하는 데 사용되는 인터페이스 및 브리지 수를 줄입니다.
멀티캐스트 트래픽은 iptables 방화벽 드라이버와 OVS(Open vSwitch) 방화벽 드라이버에서 다르게 처리됩니다. 기본적으로 iptables를 사용하면 VRRP 트래픽이 거부되며 VRRP 트래픽이 끝점에 도달하기 위해 보안 그룹 규칙에서 VRRP를 활성화해야 합니다. OVS에서는 모든 포트가 동일한 OpenFlow 컨텍스트를 공유하며, 멀티캐스트 트래픽을 포트당 개별적으로 처리할 수 없습니다. 보안 그룹은 모든 포트(예: 라우터의 포트)에 적용되지 않으므로 OVS는 NORMAL 작업을 사용하고 RFC 4541에서 지정하는 모든 포트에 멀티캐스트 트래픽을 전달합니다.
iptables_hybrid 옵션은 OVS-DPDK와 호환되지 않습니다. openvswitch 옵션은 OVS 하드웨어 오프로드와 호환되지 않습니다.
network-environment.yaml 파일에서
NeutronOVSFirewallDriver 매개변수를 구성합니다.
NeutronOVSFirewallDriver: openvswitch
-
NeutronOVSFirewallDriver: 보안 그룹을 구현할 때 사용할 방화벽 드라이버의 이름을 구성합니다. 가능한 값은 시스템 구성에 따라 다릅니다. 몇 가지 예로noop,openvswitch,iptables_hybrid가 있습니다. 빈 문자열의 기본값으로 인해 지원되는 구성이 생성됩니다.
