第 17 章 配置允许的地址对

17.1. 允许的地址对概述

允许的地址对 是当您识别特定的 MAC 地址、IP 地址或两者时,允许网络流量通过端口,而不考虑子网。当您定义允许的地址对时,您可以使用 VRRP(虚拟路由器冗余协议)等协议,这些协议分隔了两个虚拟机实例之间的 IP 地址,以启用快速数据平面故障转移。

您可以使用 Red Hat OpenStack Platform 命令行客户端 openstack port 命令定义允许的地址对。

重要

请注意,您不应该将 default 安全组与允许的地址对中更广泛的 IP 地址范围一起使用。这样做可让单个端口为同一网络内的所有其他端口绕过安全组。

例如,这个命令会影响网络中的所有端口并绕过所有安全组:

# openstack port set --allowed-address mac-address=3e:37:09:4b,ip-address=0.0.0.0/0 9e67d44eab334f07bf82fa1b17d824b6
注意

使用 ML2/OVN 机制驱动程序网络后端,可以创建 VIP。但是,使用 allowed_address_pairs 为绑定端口分配的 IP 地址应与虚拟端口 IP 地址(/32)匹配。

如果您将 CIDR 格式 IP 地址用于绑定端口 allowed_address_pairs,则端口转发不会在后端中配置,并且 CIDR 中预期到绑定 IP 端口的任何 IP 的流量会失败。