注釈
実験的な機能で、ドキュメントも不十分です。
歴史的に、 Open vSwitch (OVS) は、セキュリティーグループの実装にあたり iptables と直接やり取りすることができませんでした。そのため、 OVS エージェントと Compute サービスでは、各インスタンス (VM) と OVS 統合ブリッジ br-int の間に Linux ブリッジを置いて、セキュリティーグループを実装しています。その Linux ブリッジデバイスに、インスタンス用の iptables ルールが保持されます。一般的には、インスタンスと物理ネットワーク基盤の間に追加のコンポーネントが置かれることで、スケーラビリティや性能面の問題が発生します。この問題を緩和するため、 OVS エージェントには、セキュリティーグループを Linux ブリッジと iptables ではなく OVS 上のフローとして直接実装するファイアウォールドライバーがオプションとして提供されています。これにより、スケーラビリティと性能を向上できます。
ネイティブ OVS ファイアウォール実装は、カーネル空間とユーザー空間の両方の conntrack サポートを必要とします。そのため、 Linux カーネルと Open vSwitch の必要な最小バージョンがあります。すべてのケースで Open vSwitch のバージョン 2.5 以降が必要です。
バージョン 4.3 以降のカーネルには conntrack サポートが入っています。
バージョン 3.3 以降 4.3 未満のカーネルには conntrack サポートが入っていないため、 OVS モジュールを作成する必要があります。
Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.