ネイティブ Open vSwitch ファイアウォールドライバー¶
注釈
実験的な機能で、ドキュメントも不十分です。
歴史的に、 Open vSwitch (OVS) は、セキュリティーグループの実装にあたり iptables と直接やり取りすることができませんでした。そのため、 OVS エージェントと Compute サービスでは、各インスタンス (VM) と OVS 統合ブリッジ br-int の間に Linux ブリッジを置いて、セキュリティーグループを実装しています。その Linux ブリッジデバイスに、インスタンス用の iptables ルールが保持されます。一般的には、インスタンスと物理ネットワーク基盤の間に追加のコンポーネントが置かれることで、スケーラビリティや性能面の問題が発生します。この問題を緩和するため、 OVS エージェントには、セキュリティーグループを Linux ブリッジと iptables ではなく OVS 上のフローとして直接実装するファイアウォールドライバーがオプションとして提供されています。これにより、スケーラビリティと性能を向上できます。
前提¶
ネイティブ OVS ファイアウォール実装は、カーネル空間とユーザー空間の両方の conntrack サポートを必要とします。そのため、 Linux カーネルと Open vSwitch の必要な最小バージョンがあります。すべてのケースで Open vSwitch のバージョン 2.5 以降が必要です。
- バージョン 4.3 以降のカーネルには conntrack サポートが入っています。
- バージョン 3.3 以降 4.3 未満のカーネルには conntrack サポートが入っていないため、 OVS モジュールを作成する必要があります。
ネイティブ OVS ファイアウォールドライバーの有効化¶
Open vSwitch エージェントが動作しているノードで、
openvswitch_agent.iniファイルを編集し、ファイアウォールドライバーを有効にします。[securitygroup] firewall_driver = openvswitch
For more information, see the developer documentation and the video.
Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.