Verwalten von Netzwerken

Die Netzwerkkonfigurationsprozeduren in diesem Abschnitt unterscheiden sich je nachdem, ob Sie einen eigenständigen Server oder einen Server konfigurieren, der Teil eines Ressourcenpools ist.

Serverübergreifende private Netzwerke

In früheren Versionen von Citrix Hypervisor konnten Sie private Einzelserver-Netzwerke erstellen, mit denen VMs, die auf demselben Host ausgeführt werden, miteinander kommunizieren konnten. Die serverübergreifende private Netzwerkfunktion , die das private Einzelservernetzwerkkonzept erweitert, sodass VMs auf verschiedenen Hosts miteinander kommunizieren können. Serverübergreifende private Netzwerke kombinieren die gleichen Isolationseigenschaften eines privaten Netzwerks mit einem Server, jedoch mit der zusätzlichen Möglichkeit, Hosts über einen Ressourcenpool zu erstrecken. Diese Kombination ermöglicht die Verwendung von VM-Agilitätsfunktionen wie Live-Migration für VMs mit Verbindungen zu serverübergreifenden privaten Netzwerken.

Serverübergreifende private Netzwerke sind isoliert. VMs, die nicht mit dem privaten Netzwerk verbunden sind, können keinen Datenverkehr im Netzwerk ausschnüffeln oder injizieren. Dies geschieht auch dann, wenn sie sich auf demselben physischen Host befinden und VIFs mit einem Netzwerk auf demselben zugrunde liegenden physischen Netzwerkgerät (PIF) verbunden sind. VLANs bieten eine ähnliche Funktionalität. Im Gegensatz zu VLANs bieten serverübergreifende private Netzwerke jedoch Isolation, ohne dass eine Konfiguration einer physischen Switch-Fabric erforderlich ist, indem das GRE IP-Tunneling-Protokoll (Generic Routing Encapsulation) verwendet wird.

Private Netzwerke bieten die folgenden Vorteile, ohne dass ein physischer Switch erforderlich ist:

  • Die Isolationseigenschaften privater Einzelserver-Netzwerke

  • Die Möglichkeit, sich über einen Ressourcenpool zu erstrecken, sodass VMs, die mit einem privaten Netzwerk verbunden sind, auf mehreren Hosts innerhalb desselben Pools leben können

  • Kompatibilität mit Funktionen wie Live-Migration

Erstellen Sie serverübergreifende private Netzwerke auf einer Verwaltungsschnittstelle oder einer sekundären Schnittstelle, da für diese eine IP-adressierbare Netzwerkkarte erforderlich ist. Sie können jede IP-fähige Netzwerkkarte als zugrunde liegende Netzwerk-Transport verwenden. Wenn Sie den serverübergreifenden privaten Netzwerkverkehr auf eine sekundäre Schnittstelle übertragen möchten, muss sich diese sekundäre Schnittstelle in einem separaten Subnetz befinden.

Wenn sich Verwaltungs- oder sekundäre Schnittstellen im selben Subnetz befinden, wird der Datenverkehr falsch weitergeleitet.

Hinweise:

Um ein serverübergreifendes privates Netzwerk zu erstellen, müssen die folgenden Bedingungen erfüllt sein:

  • Alle Hosts im Pool müssen Citrix Hypervisor 6.0 oder höher verwenden.

  • Alle Hosts im Pool müssen den vSwitch für den Netzwerkstapel verwenden.

  • Der vSwitch Controller muss ausgeführt werden, und Sie müssen den Pool hinzugefügt haben. (Für den Pool muss ein vSwitch Controller konfiguriert sein, der die Initialisierungs- und Konfigurationsaufgaben übernimmt, die für die vSwitch-Verbindung erforderlich sind.)

  • Sie müssen das serverübergreifende private Netzwerk auf einer Netzwerkkarte erstellen, die als Verwaltungsschnittstelle konfiguriert ist. Dies kann die Verwaltungsschnittstelle oder eine sekundäre Schnittstelle (IP-fähige PIF) sein, die Sie speziell für diesen Zweck konfigurieren, sofern sie sich in einem separaten Subnetz befindet.

Weitere Informationen zum Konfigurieren des vSwitches finden Sie untervSwitch und Controller. UI-basierte Verfahren zum Konfigurieren privater Netzwerke finden Sie in der XenCenter Hilfe.

Erstellen von Netzwerken auf einem eigenständigen Server

Da während der Hostinstallation externe Netzwerke für jede PIF erstellt werden, ist das Erstellen zusätzlicher Netzwerke in der Regel nur erforderlich, um:

  • Verwenden eines privaten Netzwerks

  • Unterstützung erweiterter Vorgänge wie VLANs oder NIC-Bonding

Informationen zum Hinzufügen oder Löschen von Netzwerken mit XenCenter finden Sie in der XenCenter-Hilfe.

Öffnen Sie die Textkonsole des Citrix Hypervisor or-Servers.

Erstellen Sie das Netzwerk mit dem Befehl network-create, der die UUID des neu erstellten Netzwerks zurückgibt:

xe network-create name-label=mynetwork

An diesem Punkt ist das Netzwerk nicht mit einem PIF verbunden und ist daher intern.

Erstellen von Netzwerken in Ressourcenpools

Alle Citrix Hypervisor or-Server in einem Ressourcenpool müssen dieselbe Anzahl physischer Netzwerkkarten (NICs) aufweisen. Diese Anforderung wird nicht strikt durchgesetzt, wenn ein Host mit einem Pool verbunden wird.

Da alle Hosts in einem Pool ein gemeinsames Netzwerk verwenden. Es ist wichtig, die gleiche physische Netzwerkkonfiguration für Citrix Hypervisor or-Server in einem Pool zu haben. PIF auf den einzelnen Hosts werden basierend auf dem Gerätenamen mit Pool-weiten Netzwerken verbunden. Beispielsweise verfügen alle Citrix Hypervisor or-Server in einem Pool mit eth0 NIC über eine entsprechende PIF an das Pool-weiteNetwork 0 Netzwerk angeschlossen. Dasselbe gilt für Hosts mit eth1-Netzwerkkarten und anderen NetzwerkkartenNetwork 1, die in mindestens einem Citrix Hypervisor or-Server im Pool vorhanden sind.

Wenn ein Citrix Hypervisor or-Server über eine andere Anzahl von Netzwerkkarten verfügt als andere Hosts im Pool, können Komplikationen auftreten. Die Komplikationen können auftreten, da nicht alle Pool-Netzwerke für alle Pool-Hosts gültig sind. Wenn sich beispielsweise Hosts host1 und host2 im selben Pool befinden und host1 über vier Netzwerkkarten verfügt und host2 nur zwei hat, sind nur die mit PIF verbundenen Netzwerke, die eth0 und eth1 entsprechen, auf host2 gültig. VMs auf host1 mit VIFs, die mit Netzwerken verbunden sind, die eth2 und eth3 entsprechen, können nicht zu Host host2 migrieren.

Erstellen von VLANs

Für Server in einem Ressourcenpool können Sie denpool-vlan-create Befehl verwenden. Dieser Befehl erstellt das VLAN und erstellt automatisch die erforderlichen PIFs auf den Hosts im Pool und fügt sie ein. Weitere Informationen finden Sie unter pool-vlan-erstellen.

Öffnen Sie die Citrix Hypervisor -Serverkonsole.

Erstellen Sie ein Netzwerk für die Verwendung mit dem VLAN. Die UUID des neuen Netzwerks wird zurückgegeben:

xe network-create name-label=network5

Verwenden Sie denpif-list Befehl, um die UUID der PIF zu finden, die der physischen NIC entspricht, die das gewünschte VLAN-Tag unterstützt. Die UUIDs und Gerätenamen aller PIFs werden zurückgegeben, einschließlich vorhandener VLANs:

xe pif-list

Erstellen Sie ein VLAN-Objekt, das das gewünschte physische PIF- und VLAN-Tag auf allen VMs angibt, die mit dem neuen VLAN verbunden werden sollen. Eine neue PIF wird erstellt und an das angegebene Netzwerk angeschlossen. Die UUID des neuen PIF-Objekts wird zurückgegeben.

xe vlan-create network-uuid=network_uuid pif-uuid=pif_uuid vlan=5

Fügen Sie VM-VIFs an das neue Netzwerk an. Weitere Informationen Erstellen von Netzwerken auf einem eigenständigen Server finden Sie unter.

Erstellen von NIC-Anleihen auf einem eigenständigen Host

Wir empfehlen die Verwendung von XenCenter zum Erstellen von NIC-Anleihen. Anweisungen finden Sie in der XenCenter Hilfe.

In diesem Abschnitt wird beschrieben, wie Sie mithilfe der xe-CLI NIC-Schnittstellen auf Citrix Hypervisor or-Servern verbinden, die sich nicht in einem Pool befinden. Informationen zur Verwendung der xe-CLI zum Erstellen von NIC-Anleihen auf Citrix Hypervisor or-Servern, die einen Ressourcenpool bilden, finden Sie unter Erstellen von NIC-Anleihen in Ressourcenpools.

Erstellen einer NIC-Verbindung

Wenn Sie eine NIC verbinden, absorbiert die Bindung die PIF/NIC, die als Verwaltungsschnittstelle verwendet wird. Ab Citrix Hypervisor 6.0 wird die Verwaltungsschnittstelle automatisch auf die Anleihe-PIF verschoben.

  1. Verwenden Sie dennetwork-create Befehl, um ein Netzwerk für die Verwendung mit der gebundenen NIC zu erstellen. Die UUID des neuen Netzwerks wird zurückgegeben:

    xe network-create name-label=bond0
    
  2. Verwenden Sie denpif-list Befehl, um die UUIDs der PIF zu bestimmen, die in der Bindung verwendet werden sollen:

    xe pif-list
    
  3. Führen Sie einen der folgenden Schritte aus:

    • Um die Bindung im Aktiv-Aktiv-Modus (Standard) zu konfigurieren, verwenden Sie den bond-create Befehl, um die Bindung zu erstellen. Geben Sie mithilfe von Kommas die neu erstellte Netzwerk-UUID und die UUIDs der zu gebundenen PIFs an:

       xe bond-create network-uuid=network_uuid /
            pif-uuids=pif_uuid_1,pif_uuid_2,pif_uuid_3,pif_uuid_4
      

      Geben Sie zwei UUIDs ein, wenn Sie zwei Netzwerkkarten und vier UUIDs verkleben, wenn Sie vier Netzwerkkarten miteinander vereinen. Die UUID für die Bindung wird nach dem Ausführen des Befehls zurückgegeben.

    • Um die Bindung im Aktiv-Passiv- oder LACP-Bond-Modus zu konfigurieren, verwenden Sie die gleiche Syntax, fügen Sie den optionalen mode Parameter hinzu und geben Sie Folgendes lacp an active-backup:

       xe bond-create network-uuid=network_uuid pif-uuids=pif_uuid_1, /
            pif_uuid_2,pif_uuid_3,pif_uuid_4 /
            mode=balance-slb | active-backup | lacp
      

Steuern Sie die MAC-Adresse der Anleihe

Wenn Sie die Verwaltungsschnittstelle verbinden, wird die PIF/NIC, die als Verwaltungsschnittstelle verwendet wird, subsumiert. Wenn der Host DHCP verwendet, entspricht die MAC-Adresse der Anleihe der verwendeten PIF/NIC. Die IP-Adresse der Verwaltungsschnittstelle kann unverändert bleiben.

Sie können die MAC-Adresse der Anleihe so ändern, dass sie sich von der MAC-Adresse für die (aktuelle) Verwaltungsschnittstellen-NIC unterscheidet. Da jedoch die Bindung aktiviert ist und sich die verwendete MAC/IP-Adresse ändert, werden vorhandene Netzwerksitzungen zum Host gelöscht.

Sie können die MAC-Adresse für eine Bindung auf zwei Arten steuern:

  • Ein optionalermac Parameter kann imbond-create Befehl angegeben werden. Sie können diesen Parameter verwenden, um die BindungsMAC-Adresse auf eine beliebige Adresse zu setzen.

  • Wenn dermac Parameter nicht angegeben ist, verwendet Citrix Hypervisor die MAC-Adresse der Verwaltungsschnittstelle, wenn es sich um eine der Schnittstellen in der Bindung handelt. Wenn die Management-Schnittstelle nicht Teil der Anleihe ist, sondern eine andere Management-Schnittstelle ist, verwendet die Bindung die MAC-Adresse (und auch die IP-Adresse) dieser Management-Schnittstelle. Wenn keine der Netzwerkkarten in der Anleihe eine Verwaltungsschnittstelle ist, verwendet die Anleihe den MAC der ersten benannten NIC.

NIC-Anleihen zurücksetzen

Wenn Sie den Citrix Hypervisor or-Server auf eine nicht gebundene Konfiguration zurücksetzen, konfiguriert derbond-destroy Befehl automatisch den Primär-Slave als Schnittstelle für die Verwaltungsschnittstelle. Daher werden alle VIFs auf die Management-Schnittstelle verschoben. Wenn sich die Verwaltungsschnittstelle eines Hosts auf der getaggten VLAN-gebundenen Schnittstelle befindet, wird das Management-VLAN bei der Ausführungbond-destroyin den primären Slave verschoben.

Der Begriff Primär-Slave bezieht sich auf die PIF, aus der die MAC- und IP-Konfiguration beim Erstellen der Bindung kopiert wurde. Beim Verbinden von zwei Netzwerkkarten lautet der primäre Slave:

  1. Die NIC der Verwaltungsschnittstelle (wenn die Verwaltungsschnittstelle eine der gebundenen NICs ist).

  2. Jede andere Netzwerkkarte mit einer IP-Adresse (wenn die Verwaltungsschnittstelle nicht Teil der Bindung war).

  3. Die erste benannte NIC. Sie können herausfinden, welches es ist, indem Sie Folgendes ausführen:

    xe bond-list params=all
    

Erstellen von NIC-Anleihen in Ressourcenpools

Erstellen Sie nach Möglichkeit NIC-Anleihen im Rahmen der anfänglichen Erstellung eines Ressourcenpools, bevor Sie weitere Hosts mit dem Pool verbinden oder VMs erstellen. Dadurch kann die Bondkonfiguration automatisch auf Hosts repliziert werden, wenn sie mit dem Pool verbunden sind, und die Anzahl der erforderlichen Schritte wird reduziert.

Das Hinzufügen einer NIC-Bindung zu einem vorhandenen Pool erfordert einen der folgenden Schritte:

  • Verwenden der CLI, um die Anleihen auf dem Master und dann jedes Mitglied des Pools zu konfigurieren.

  • Verwenden der CLI, um Anleihen auf dem Master zu konfigurieren und dann jedes Pool-Mitglied neu zu starten, so dass es seine Einstellungen vom Master erbt.

  • Konfigurieren der Bindungen auf dem Master mithilfe von XenCenter. XenCenter synchronisiert die Netzwerkeinstellungen auf den Mitgliedsservern automatisch mit dem Master, sodass Sie die Mitgliedsserver nicht neu starten müssen.

Zur Vereinfachung und zur Vermeidung von Fehlkonfiguration empfehlen wir die Verwendung von XenCenter zum Erstellen von NIC-Anleihen. Weitere Informationen finden Sie in der XenCenter Hilfe.

In diesem Abschnitt wird die Verwendung der xe-CLI zum Erstellen von gebundenen NIC-Schnittstellen auf Citrix Hypervisor or-Servern beschrieben, die einen Ressourcenpool umfassen. Informationen zur Verwendung der xe-CLI zum Erstellen von NIC-Anleihen auf einem eigenständigen Host finden Sie unter Erstellen von NIC-Anleihen auf einem eigenständigen Host.

Warnhinweis:

Versuchen Sie nicht, Netzwerkanleihen zu erstellen, wenn die hohe Verfügbarkeit aktiviert ist. Der Prozess der Bindungserstellung stört den laufenden Hochverfügbarkeits-Heartbeat und bewirkt, dass Hosts sich selbst zünden (sich selbst abschalten). Die Hosts können nicht ordnungsgemäß neu gestartet werden und benötigen möglicherweise denhost-emergency-ha-disable Befehl zum Wiederherstellen.

Select den Host aus, der der Master sein soll. Der Master-Host gehört standardmäßig zu einem unbenannten Pool. Um einen Ressourcenpool mit der CLI zu erstellen, benennen Sie den vorhandenen namenlosen Pool um:

xe pool-param-set name-label="New Pool" uuid=pool_uuid

Erstellen Sie die NIC-Bindung wie unter beschriebenErstellen einer NIC-Verbindung.

Öffnen Sie eine Konsole auf einem Host, dem Sie dem Pool beitreten möchten, und führen Sie den folgenden Befehl aus:

xe pool-join master-address=host1 master-username=root master-password=password

Die Netzwerk- und Anleihinformationen werden automatisch auf den neuen Host repliziert. Die Verwaltungsschnittstelle wird automatisch von der Host-NIC, in der sie ursprünglich konfiguriert wurde, auf die gebundene PIF verschoben. Das heißt, die Management-Schnittstelle wird nun in die Anleihe aufgenommen, so dass die gesamte Anleihe als Management-Schnittstelle fungiert.

Verwenden Sie denhost-list Befehl, um die UUID des zu konfigurierenden Hosts zu finden:

xe host-list

Warnung:Versuchen

Sie nicht, Netzwerkanleihen zu erstellen, wenn die hohe Verfügbarkeit aktiviert ist. Der Prozess der Bindungserstellung stört den laufenden Hochverfügbarkeits-Heartbeat und bewirkt, dass Hosts sich selbst zünden (sich selbst abschalten). Die Hosts können nicht ordnungsgemäß neu gestartet werden, und Sie müssen denhost-emergency-ha-disable Befehl zum Wiederherstellen ausführen.

Konfigurieren einer dedizierten Speicher-NIC

Sie können XenCenter oder die xe CLI verwenden, um einer NIC eine IP-Adresse zuzuweisen und sie einer bestimmten Funktion, z. B. dem Speicherdatenverkehr, zuzuweisen. Wenn Sie eine Netzwerkkarte mit einer IP-Adresse konfigurieren, erstellen Sie eine sekundäre Schnittstelle. (Die IP-fähige Netzwerkkarte Citrix Hypervisor, die für die Verwaltung verwendet wird, wird als Verwaltungsschnittstelle bezeichnet.)

Wenn Sie eine sekundäre Schnittstelle für einen bestimmten Zweck reservieren möchten, stellen Sie sicher, dass die entsprechende Netzwerkkonfiguration vorhanden ist. Damit soll sichergestellt werden, dass die Netzwerkkarte nur für den gewünschten Datenverkehr verwendet wird. Um eine Netzwerkkarte dem Speicherdatenverkehr zu widmen, konfigurieren Sie die Netzwerkkarte, das Speicherziel, den Switch und das VLAN so, dass das Ziel nur über die zugewiesene Netzwerkkarte zugänglich ist. Wenn Ihre physische und IP-Konfiguration den Datenverkehr, der über die Speicher-NIC gesendet wird, nicht einschränkt, können Sie Datenverkehr, z. B. Verwaltungsdatenverkehr über die sekundäre Schnittstelle senden.

Wenn Sie eine neue sekundäre Schnittstelle für Speicherdatenverkehr erstellen, müssen Sie ihr eine IP-Adresse zuweisen, die lautet:

  • Im selben Subnetz wie der Speichercontroller, falls zutreffend, und

  • Nicht im selben Subnetz wie andere sekundäre Schnittstellen oder die Verwaltungsschnittstelle.

Wenn Sie sekundäre Schnittstellen konfigurieren, muss sich jede sekundäre Schnittstelle in einem separaten Subnetz befinden. Wenn Sie beispielsweise zwei weitere sekundäre Schnittstellen für den Speicher konfigurieren möchten, benötigen Sie IP-Adressen in drei verschiedenen Subnetzen: ein Subnetz für die Verwaltungsschnittstelle, ein Subnetz für die sekundäre Schnittstelle 1 und ein Subnetz für die sekundäre Schnittstelle 2.

Wenn Sie Bonding für die Ausfallsicherheit Ihres Speicherdatenverkehrs verwenden, sollten Sie möglicherweise LACP anstelle der Linux-Bridge-Bonding verwenden. Um LACP-Bonding zu verwenden, müssen Sie den vSwitch als Netzwerkstapel konfigurieren. Weitere Informationen finden Sie unter vSwitch-Netzwerke.

Hinweis:

Wenn Sie eine Netzwerkkarte auswählen, die als sekundäre Schnittstelle für die Verwendung mit iSCSI- oder NFS-SRs konfiguriert werden soll, stellen Sie sicher, dass die dedizierte Netzwerkkarte ein separates IP-Subnetz verwendet, das von der Verwaltungsschnittstelle nicht routingfähig ist. Wenn dies nicht erzwungen wird, kann der Speicherdatenverkehr nach einem Host-Neustart über die Hauptverwaltungsschnittstelle geleitet werden, da Netzwerkschnittstellen initialisiert werden.

Stellen Sie sicher, dass sich die PIF in einem separaten Subnetz befindet oder das Routing entsprechend Ihrer Netzwerktopologie konfiguriert ist, um den gewünschten Datenverkehr über die ausgewählte PIF zu erzwingen.

Richten Sie eine IP-Konfiguration für die PIF ein und fügen Sie entsprechende Werte für den Parameter mode hinzu. Wenn Sie die statische IP-Adressierung verwenden, fügen Sie die IP-, Netzmask-, Gateway- und DNS-Parameter hinzu:

xe pif-reconfigure-ip mode=DHCP | Static uuid=pif-uuid

Setzen Sie den disallow-unplug-Parameter des PIF auf true:

xe pif-param-set disallow-unplug=true uuid=pif-uuid
xe pif-param-set other-config:management_purpose="Storage" uuid=pif-uuid

Wenn Sie eine sekundäre Schnittstelle für den Speicher verwenden möchten, die auch über die Management-Schnittstelle weitergeleitet werden kann (in Anbetracht der Tatsache, dass diese Konfiguration nicht die bewährte Vorgehensweise ist), haben Sie zwei Möglichkeiten:

  • Stellen Sie nach einem Host-Neustart sicher, dass die sekundäre Schnittstelle korrekt konfiguriert ist. Verwenden Sie diexe pbd-unplug Befehlexe pbd-plug und, um die Speicherverbindungen auf dem Host neu zu initialisieren. Dieser Befehl startet die Speicherverbindung neu und leitet sie über die richtige Schnittstelle weiter.

  • Alternativ könnenxe pif-forget Sie die Schnittstelle aus der Citrix Hypervisor Datenbank löschen und sie manuell in der Steuerdomäne konfigurieren. xe pif-forget ist eine erweiterte Option und erfordert, dass Sie sich mit der manuellen Konfiguration von Linux-Netzwerken vertraut machen.

Verwenden von SR-IOV-fähigen Netzwerkkarten

Single Root I/O Virtualization (SR-IOV) ist eine Virtualisierungstechnologie, mit der ein einzelnes PCI-Gerät als mehrere PCI-Geräte auf dem physischen System angezeigt werden kann. Das eigentliche physische Gerät wird als Physical Function (PF) bezeichnet, während die anderen als Virtual Functions (VF) bezeichnet werden. Der Hypervisor kann einer virtuellen Maschine (VM) einen oder mehrere VFs zuweisen: Der Gast kann das Gerät dann so verwenden, als wäre es direkt zugewiesen.

Durch die Zuweisung einer oder mehrerer NIC-VFs zu einer VM kann der Netzwerkverkehr den virtuellen Switch umgehen. Bei der Konfiguration verhält sich jede VM so, als ob sie die Netzwerkkarte direkt verwendet, was den Verarbeitungsaufwand verringert und die Leistung verbessert.

Vorteile von SR-IOV

Ein SR-IOV VF hat eine bessere Leistung als VIF. Es kann die hardwarebasierte Trennung zwischen Datenverkehr von verschiedenen VMs über dieselbe NIC sicherstellen (unter Umgehung des Citrix Hypervisor Netzwerkstapels).

Mit dieser Funktion können Sie:

  • Aktivieren Sie SR-IOV auf Netzwerkkarten, die SR-IOV unterstützen.

  • Deaktivieren Sie SR-IOV auf Netzwerkkarten, die SR-IOV unterstützen.

  • Verwalten von SR-IOV-VFs als VF-Ressourcenpool.

  • Weisen Sie SR-IOV-VFs zu einer VM zu.

  • Konfigurieren Sie SR-IOV-VFs (Zum Beispiel MAC-Adresse, VLAN, Rate).

  • Führen Sie Tests durch, um zu bestätigen, ob SR-IOV als Teil des Automated Certification Kit unterstützt wird.

Systemkonfiguration

Konfigurieren Sie die Hardwareplattform ordnungsgemäß, um SR-IOV zu unterstützen. Folgende Technologien sind erforderlich:

  • I/O-MMU-Virtualisierung (AMD-vi und Intel VT-d)

  • Alternative Routing-ID-Interpretation (ARI)

  • Adressübersetzungsdienste (ATS)

  • Zugriffssteuerungsdienste (ACS)

Informationen zur Konfiguration des BIOS zur Aktivierung der genannten Technologien finden Sie in der Dokumentation Ihres Systems.

Aktivieren eines SR-IOV-Netzwerks auf einer Netzwerkkarte

Verwenden Sie in XenCenter den Assistenten „ Neues Netzwerk “ auf der Registerkarte „ Netzwerk “, um ein SR-IOV-Netzwerk auf einer Netzwerkkarte zu erstellen und zu aktivieren.

Zuweisen eines SR-IOV-Netzwerks zur virtuellen Schnittstelle (VM-Ebene)

Verwenden Sie in XenCenter auf VM-Ebene den Assistenten zum Hinzufügen virtueller Schnittstelle auf der Registerkarte Netzwerk , um ein SR-IOV-aktiviertes Netzwerk als virtuelle Schnittstelle für diese VM hinzuzufügen. Weitere Informationen finden Sie in der XenCenter Hilfe.

Unterstützte NICs und Gäste

Eine Liste der unterstützten Hardwareplattformen und Netzwerkkarten finden Sie unterHardwarekompatibilitätsliste. Sehen Sie in der Dokumentation des Herstellers für einen bestimmten Gast, ob SR-IOV unterstützt wird.

Einschränkungen

  • Bei bestimmten Netzwerkkarten, die Legacy-Treiber verwenden (z. B. Intel I350), muss der Host neu gestartet werden, um SR-IOV auf diesen Geräten zu aktivieren oder zu deaktivieren.

  • Nur HVM-Gäste werden mit SR-IOV unterstützt.

  • Ein SR-IOV-Netzwerk auf Poolebene mit unterschiedlichen NIC-Typen wird nicht unterstützt.

  • Ein SR-IOV-VF und ein normaler VIF von derselben NIC können aufgrund der Einschränkungen der NIC-Hardware möglicherweise nicht miteinander kommunizieren. Damit diese Hosts kommunizieren können, stellen Sie sicher, dass die Kommunikation das Muster VF zu VF oder VIF zu VIF und nicht VF zu VIF verwendet.

  • Die Service-Einstellungen für einige SR-IOV-VFs werden nicht wirksam, da sie keine Begrenzung der Netzwerkgeschwindigkeit unterstützen.

  • Die Durchführung von Livemigration, Suspend und Checkpoint wird auf VMs mit einem SR-IOV-VF nicht unterstützt.

  • SR-IOV-VFs unterstützen kein Hot-Plug-ging.

  • Bei einigen NICs mit Legacy-NIC-Treibern ist möglicherweise ein Neustart des Servers erforderlich, was darauf hinweist, dass die Netzwerkkarte SR-IOV nicht aktivieren kann.

  • VMs, die in früheren Versionen erstellt wurden, können diese Funktion von XenCenter nicht verwenden.

  • Wenn Ihre VM über eine SR-IOV-VF verfügt, sind Funktionen, die eine Live-Migration erfordern, nicht möglich. Dies liegt daran, dass die VM direkt an die physische SR-IOV-fähige NIC-VF gebunden ist. Jeder VM-Netzwerkverkehr, der über einen SR-IOV VF gesendet wird, umgeht den vSwitch. Daher ist es nicht möglich, ACLs zu erstellen oder Quality of Service (QoS) anzuzeigen.

  • Hardwareeinschränkung: Die SR-IOV-Funktion setzt darauf, dass der Controller Gerätefunktionen auf einen makellosen Zustand innerhalb von 100 ms zurücksetzt, wenn er vom Hypervisor mit Funktion Level Reset (FLR) angefordert wird.

  • SR-IOV kann in einer Umgebung verwendet werden, die hohe Verfügbarkeit nutzt. SR-IOV wird jedoch bei der Kapazitätsplanung nicht berücksichtigt. VMs, denen SR-IOV-VFs zugewiesen sind, werden nach bestem Aufwand neu gestartet, wenn sich im Pool ein Host befindet, der über entsprechende Ressourcen verfügt. Zu diesen Ressourcen gehören SR-IOV, die im richtigen Netzwerk aktiviert sind, und ein freier VF.

Konfigurieren von SR-IOV-VFs für Legacy-Treiber

Normalerweise kann die maximale Anzahl von VFs, die eine NIC unterstützen kann, automatisch ermittelt werden. Bei NICs, die Legacy-Treiber verwenden (z. B. Intel I350-Produktreibern), wird der Grenzwert in der Konfigurationsdatei des Treibermoduls festgelegt. Das Limit muss möglicherweise manuell angepasst werden. Um es auf das Maximum zu setzen, öffnen Sie die Datei mit einem Editor und ändern Sie die Zeile beginnend:

## VFs-maxvfs-by-user:

Um beispielsweise die maximale VFs auf 4 zu setzen, damit der igb-Treiber bearbeitet/etc/modprobe.d/igb.conf wird:

## VFs-param: max_vfs
## VFs-maxvfs-by-default: 7
## VFs-maxvfs-by-user: 4
options igb max_vfs=0

Hinweise:

  • Der Wert muss kleiner oder gleich dem Wert in der Zeile seinVFs-maxvfs-by-default.

  • Ändern Sie keine andere Zeile in diesen Dateien.

  • Nehmen Sie die Änderungen vor der Aktivierung von SR-IOV vor.

CLI

CLI-AnweisungenSR-IOV-Befehlezum Erstellen, Löschen, Anzeigen von SR-IOV-Netzwerken und Zuweisen eines SR-IOV-VF zu einer VM finden Sie unter.

Steuern der Rate ausgehender Daten (QoS)

Um die Menge der ausgehenden Daten zu begrenzen, die eine VM pro Sekunde senden kann, legen Sie einen optionalen QoS-Wert (Quality of Service) für virtuelle VM-Schnittstellen (VIFs) fest. Mit dieser Einstellung können Sie eine maximale Übertragungsrate für ausgehende Pakete in Kilobyte pro Sekunde festlegen.

Der Wert Quality of Service begrenzt die Übertragungsrate von der VM. Die Einstellung Quality of Service beschränkt nicht die Datenmenge, die die VM empfangen kann. Wenn ein solches Limit gewünscht wird, empfehlen wir, die Rate der eingehenden Pakete im Netzwerk höher zu begrenzen (z. B. auf Switch-Ebene).

Je nach Netzwerkstapel, der im Pool konfiguriert ist, können Sie den Wert Quality of Service auf virtuellen VM-Schnittstellen (VIFs) an zwei Stellen festlegen. Entweder auf dem vSwitch Controller oder in Citrix Hypervisor (mit CLI oder XenCenter).

vSwitch

Konfigurationsmethoden:

  • vSwitch Controller Dies ist die bevorzugte Methode zum Einstellen der maximalen Übertragungsrate eines VIF, wenn der vSwitch der Netzwerkstapel ist. Bei Verwendung des vSwitch-Stacks ist die Option XenCenter Quality of Service nicht verfügbar.
  • xe Befehle Es ist möglich, die Übertragungsrate von Quality of Service mithilfe der Befehle im folgenden Beispiel festzulegen. Die bevorzugte Methode ist jedoch die vSwitch Controller Benutzeroberfläche, die eine feinere Steuerung bietet.

Linux-Brücke

Verfügbare Konfigurationsmethoden:

  • XenCenter Sie können den Grenzwert für die Qualitätsübermittlung für die Übertragungsrate im Eigenschaftendialog für die virtuelle Schnittstelle festlegen.
  • xe-Befehle Sie können die Übertragungsrate von Quality of Service mithilfe der Befehlszeilenschnittstelle mithilfe der Befehle im folgenden Abschnitt festlegen.

Wichtig:

Wenn vSwitch als Netzwerkstapel konfiguriert ist, ist es möglich, einen QoS-Wert versehentlich auf dem vSwitch Controller und innerhalb des Citrix Hypervisor or-Servers zu konfigurieren. In diesem Fall beschränkt Citrix Hypervisor den ausgehenden Datenverkehr mit der niedrigsten Rate, die Sie festgelegt haben.

Beispiel für den CLI-Befehl für QoS:

Um eine VIF auf eine maximale Übertragungsrate von 100 Kilobyte pro Sekunde mit der Befehlszeilenschnittstelle zu beschränken, verwenden Sie denvif-param-set folgenden Befehl:

xe vif-param-set uuid=vif_uuid qos_algorithm_type=ratelimit
xe vif-param-set uuid=vif_uuid qos_algorithm_params:kbps=100

Hinweis:

Wenn Sie den vSwitch Controller verwenden, empfehlen wir, anstelle dieses CLI-Befehls die Übertragungsrate im vSwitch Controller festzulegen. Hinweise zum Einstellen des QoS-Grenzwerts im vSwitch Controller finden Sie untervSwitch und Controller.

Ändern der Netzwerkkonfigurationsoptionen

In diesem Abschnitt wird beschrieben, wie Sie die Netzwerkkonfiguration Ihres Citrix Hypervisor or-Servers ändern. Es beinhaltet:

  • Ändern des Hostnamens (d. h. des DNS-Namenssystems)

  • Hinzufügen oder Löschen von DNS-Servern

  • Ändern von IP-Adressen

  • Ändern der Netzwerkkarte, die als Verwaltungsschnittstelle verwendet wird

  • Hinzufügen einer neuen physischen Netzwerkkarte zum Server

  • Hinzufügen eines Zwecks zu einem Netzwerk

  • Aktivieren der ARP-Filterung (Switch-Port-Verriegelung)

Hostname

Der Systemhostname, auch als Domänen- oder DNS-Name bezeichnet, wird in der Pool-weiten Datenbank definiert und mit demxe host-set-hostname-live CLI-Befehl wie folgt geändert:

xe host-set-hostname-live host-uuid=host_uuid host-name=host-name

Der zugrunde liegende Steuerdomänenhostname ändert sich dynamisch, um den neuen Hostnamen wiederzugeben.

DNS-Server

Verwenden Sie denpif-reconfigure-ip Befehl, um DNS-Server in der IP-Adressierungskonfiguration des Citrix Hypervisor-Servers hinzuzufügen oder zu löschen. Zum Beispiel für einen PIF mit einer statischen IP:

pif-reconfigure-ip uuid=pif_uuid mode=static DNS=new_dns_ip

Ändern der IP-Adresskonfiguration für einen eigenständigen Host

Sie können die XE CLI verwenden, um die Konfiguration der Netzwerkschnittstelle zu ändern. Ändern Sie die zugrunde liegenden Netzwerkkonfigurationsskripte nicht direkt.

Um die IP-Adresskonfiguration eines PIF zu ändern, verwenden Sie denpif-reconfigure-ip CLI-Befehl. pif-reconfigure-ipWeitere Informationen zu den Parametern despif-reconfigure-ipBefehls finden Sie unter. Weitere Informationen zum Ändern von Host-IP-Adressen in Ressourcenpools finden Sie im folgenden Abschnitt.

Ändern der IP-Adresskonfiguration in Ressourcenpools

Citrix Hypervisor or-Server in Ressourcenpools verfügen über eine einzige Verwaltungs-IP-Adresse, die für die Verwaltung und Kommunikation zu und von anderen Hosts im Pool verwendet wird. Die zum Ändern der IP-Adresse der Verwaltungsschnittstelle eines Hosts erforderlichen Schritte sind für Master- und andere Hosts unterschiedlich.

Hinweis:

Sie müssen vorsichtig sein, wenn Sie die IP-Adresse eines Servers und andere Netzwerkparameter ändern. Abhängig von der Netzwerktopologie und der vorgenommenen Änderung können Verbindungen zum Netzwerkspeicher verloren gehen. In diesem Fall muss der Speicher mithilfe der Funktion „ Speicher reparieren “ in XenCenter oder mithilfe despbd-plug CLI-Befehls neu angeschlossen werden. Aus diesem Grund empfehlen wir, VMs vom Server weg zu migrieren, bevor die IP-Konfiguration geändert wird.

Verwenden Sie denpif-reconfigure-ip CLI-Befehl, um die IP-Adresse wie gewünscht festzulegen. pif-reconfigure-ipWeitere Informationen zu den Parametern despif-reconfigure-ipBefehls finden Sie unter. :

xe pif-reconfigure-ip uuid=pif_uuid mode=DHCP

Verwenden Sie denhost-list CLI-Befehl, um zu bestätigen, dass der Mitgliedshost erfolgreich wieder eine Verbindung zum Master-Host hergestellt hat, indem Sie überprüfen, ob alle anderen Citrix Hypervisor or-Server im Pool sichtbar sind:

xe host-list

Das Ändern der IP-Adresse des Citrix Hypervisor ormasterservers erfordert zusätzliche Schritte. Dies liegt daran, dass jedes Poolmitglied die angekündigte IP-Adresse des Poolmasters für die Kommunikation verwendet. Die Poolmitglieder wissen nicht, wie sie den Master kontaktieren, wenn sich seine IP-Adresse ändert.

Verwenden Sie nach Möglichkeit eine dedizierte IP-Adresse, die sich wahrscheinlich nicht für die Lebensdauer des Pools für Poolmaster ändert.

Verwenden Sie denpif-reconfigure-ip CLI-Befehl, um die IP-Adresse wie gewünscht festzulegen:

xe pif-reconfigure-ip uuid=pif_uuid mode=DHCP

Wenn sich die IP-Adresse des Poolmasters ändert, wechseln alle Mitgliedshosts in einen Notfallmodus, wenn sie den Master-Host nicht kontaktieren können.

Verwenden Sie denpool-recover-slaves Befehl auf dem Poolmaster, um den Master zu erzwingen, sich mit jedem Pool-Mitglied in Verbindung zu setzen und ihn über die neue Master-IP-Adresse zu informieren:

xe pool-recover-slaves

Verwaltungsoberfläche

Wenn Citrix Hypervisor auf einem Host mit mehreren Netzwerkkarten installiert ist, wird eine Netzwerkkarte für die Verwendung als Verwaltungsschnittstelle ausgewählt. Die Verwaltungsschnittstelle wird für XenCenter Verbindungen mit dem Host und für die Host-zu-Host-Kommunikation verwendet.

Verwenden Sie denpif-list Befehl, um zu bestimmen, welche PIF der NIC entspricht, die als Verwaltungsschnittstelle verwendet werden soll. Die UUID jedes PIF wird zurückgegeben.

xe pif-list

Verwenden Sie denpif-param-list Befehl, um die IP-Adressierungskonfiguration für die PIF zu überprüfen, die für die Verwaltungsschnittstelle verwendet wird. Verwenden Sie ggf. den pif-reconfigure-ip Befehl, um die IP-Adressierung für die zu verwendende PIF zu konfigurieren.

xe pif-param-list uuid=pif_uuid

Verwenden Sie denhost-management-reconfigure CLI-Befehl, um die PIF zu ändern, die für die Verwaltungsschnittstelle verwendet wird. Wenn dieser Host Teil eines Ressourcenpools ist, muss dieser Befehl auf der Mitgliedshostkonsole ausgegeben werden:

xe host-management-reconfigure pif-uuid=pif_uuid

Verwenden Sie dennetwork-list Befehl, um zu bestimmen, welche PIF der NIC entspricht, die als Verwaltungsschnittstelle für alle Hosts im Pool verwendet werden soll. Die UUID des poolweiten Netzwerks wird zurückgegeben.

xe network-list

Verwenden Sie dennetwork-param-list Befehl, um die PIF-UUIDs aller Hosts im Pool abzurufen. Verwenden Sie denpif-param-list Befehl, um die IP-Adressierungskonfiguration für die PIF für die Verwaltungsschnittstelle zu überprüfen. Verwenden Sie ggf. den pif-reconfigure-ip Befehl, um die IP-Adressierung für die zu verwendende PIF zu konfigurieren.

xe pif-param-list uuid=pif_uuid

Verwenden Sie den Befehlpool-management-reconfigure CLI, um die PIF zu ändern, die für die in der Liste Netzwerke aufgelistete Verwaltungsschnittstelle verwendet wird.

xe pool-management-reconfigure network-uuid=network_uuid

Deaktivieren des Verwaltungszugriffs

Verwenden Sie denhost-management-disable CLI-Befehl, um den Remotezugriff auf die Verwaltungskonsole vollständig zu deaktivieren.

Warnhinweis:

Wenn die Verwaltungsschnittstelle deaktiviert ist, müssen Sie sich bei der physischen Hostkonsole anmelden, um Verwaltungsaufgaben auszuführen. Externe Schnittstellen wie XenCenter funktionieren nicht, wenn die Verwaltungsschnittstelle deaktiviert ist.

Hinzufügen einer neuen physischen Netzwerkkarte

Installieren Sie eine neue physische Netzwerkkarte auf dem Citrix Hypervisor or-Server auf die übliche Weise. Führen Sie dann nach dem Neustart des Servers den Befehl xe CLI-Befehl aus,pif-scan um ein neues PIF-Objekt für die neue Netzwerkkarte zu erstellen.

Hinzufügen eines Zwecks zu einem Netzwerk

Der Netzwerkzweck kann verwendet werden, um zusätzliche Funktionalitäten zu einem Netzwerk hinzuzufügen. Zum Beispiel die Möglichkeit, das Netzwerk zu verwenden, um NBD-Verbindungen herzustellen.

Um einen Netzwerkzweck hinzuzufügen, verwenden Sie denxe network-param-add folgenden Befehl:

xe network-param-add param-name=purpose param-key=purpose uuid=network-uuid

Um einen Netzwerkzweck zu löschen, verwenden Sie denxe network-param-remove folgenden Befehl:

xe network-param-remove param-name=purpose param-key=purpose uuid=network-uuid

Derzeit sind die verfügbaren Werte für den Netzwerkzwecknbd undinsecure_nbd . Weitere Informationen finden Sie unter Citrix Hypervisor Changed Block Tracking Guide.

Switch-Port-Verriegelung verwenden

Mit der Citrix Hypervisor or-Switch-Port-Sperrfunktion können Sie den Datenverkehr steuern, der von unbekannten, nicht vertrauenswürdigen oder potenziell feindlichen VMs gesendet wird, indem Sie ihre Fähigkeit einschränken, so zu tun, als hätten sie eine MAC- oder IP-Adresse, die ihnen nicht zugewiesen wurde. Mit den Port-Locking-Befehlen können Sie standardmäßig den gesamten Datenverkehr in einem Netzwerk blockieren oder bestimmte IP-Adressen definieren, von denen eine einzelne VM Datenverkehr senden darf.

Switch-Port-Sperrung ist eine Funktion, die für öffentliche Cloud-Service-Provider in Umgebungen entwickelt wurde, die sich um interne Bedrohungen kümmern. Diese Funktionalität unterstützt öffentliche Cloud-Service-Provider, die über eine Netzwerkarchitektur verfügen, in der jede VM über eine öffentliche, mit dem Internet verbundene IP-Adresse verfügt. Da Cloudmandanten nicht vertrauenswürdig sind, können Sie Sicherheitsmaßnahmen wie Spoofing-Schutz verwenden, um sicherzustellen, dass Mandanten andere virtuelle Maschinen in der Cloud nicht angreifen können.

Mit der Switch-Port-Sperrung können Sie Ihre Netzwerkkonfiguration vereinfachen, indem Sie allen Mandanten oder Gästen die Nutzung des gleichen Layer-2-Netzwerks ermöglichen.

Eine der wichtigsten Funktionen der Port-Locking-Befehle ist, dass sie den Datenverkehr einschränken können, den ein nicht vertrauenswürdiger Gast sendet. Dies schränkt die Fähigkeit des Gastes ein, vorzutäuschen, dass er eine MAC- oder IP-Adresse hat, die er nicht besitzt. Insbesondere können Sie diese Befehle verwenden, um zu verhindern, dass ein Gast:

  • Inanspruchnahme einer anderen IP-Adresse oder MAC-Adresse als der vom Citrix Hypervisor Administrator angegebenen IP-Adresse

  • Abfangen, Spoofing oder Unterbrechen des Datenverkehrs anderer VMs

Anforderungen

  • Die Citrix Hypervisor or-Switch-Port-Sperrfunktion wird auf den Linux-Bridge- und vSwitch-Netzwerkstacks unterstützt.

  • Wenn Sie Role Based Access Control (Role Based Access Control, RBAC) in Ihrer Umgebung aktivieren, muss der Benutzer, der die Switch-Port-Sperre konfiguriert, mit einem Konto angemeldet sein, das mindestens eine Pool-Operator- oder Pool-Admin-Rolle besitzt. Wenn RBAC in Ihrer Umgebung nicht aktiviert ist, muss der Benutzer mit dem Stammkonto für den Poolmaster angemeldet sein.

  • Wenn Sie die Switch-Port-Sperrbefehle ausführen, können Netzwerke online oder offline sein.

  • In Windows Gästen wird das Symbol „Netzwerk getrennt“ nur angezeigt, wenn Citrix VM Tools im Gast installiert sind.

Notizen

Ohne Switch-Port-Sperrkonfigurationen werden VIFs auf „network_default“ und Netzwerke auf „entsperrt“ gesetzt. „

Die Konfiguration der Switch-Port-Sperrung wird nicht unterstützt, wenn der vSwitch-Controller und andere Controller von Drittanbietern in der Umgebung verwendet werden.

Die Switch-Port-Sperrung verhindert nicht, dass Cloud-Mandanten:

  • Durchführen eines IP-Level-Angriffs auf einen anderen Mandanten/Benutzer. Die Switch-Port-Sperrung verhindert jedoch, dass sie den Angriff auf IP-Ebene ausführen, wenn sie versuchen, dies zu tun, und die Switch-Port-Sperre konfiguriert ist: a) die Identität eines anderen Mandanten in der Cloud oder des Benutzers oder b) das Einleiten eines für einen anderen Benutzer bestimmten Datenverkehrs.

  • Ausschöpfende Netzwerkressourcen.

  • Empfangen von Datenverkehr, der für andere virtuelle Maschinen bestimmt ist, durch normales Switch-Überflutungsverhalten (für Broadcast-MAC-Adressen oder unbekannte Ziel-MAC-Adressen).

Ebenso beschränkt die Switch-Port-Sperre nicht, an die eine VM Datenverkehr senden kann.

Implementierungshinweise

Sie können die Switch-Port-Sperrfunktion entweder mithilfe der Befehlszeile oder der Citrix Hypervisor API implementieren. In großen Umgebungen, in denen die Automatisierung ein Hauptanliegen ist, kann die typischste Implementierungsmethode jedoch die Verwendung der API sein.

Beispiele

Dieser Abschnitt enthält Beispiele dafür, wie Switch-Port-Sperren bestimmte Arten von Angriffen verhindern kann. In diesen Beispielen ist VM-C eine virtuelle Maschine, die ein feindseliger Mandant (Tenant C) leacht und für Angriffe verwendet. VM-a und VM-b sind virtuelle Maschinen, die von nicht angreifenden Mandanten geleast werden.

Beispiel 1: Wie die Switch-Port-Sperre ARP-Spoofing verhindern kann:

ARP-Spoofing wird verwendet, um anzuzeigen, dass ein Angreifer versucht, seine MAC-Adresse mit der IP-Adresse eines anderen Knotens zu verknüpfen. ARP-Spoofing kann möglicherweise dazu führen, dass der Datenverkehr des Knotens an den Angreifer gesendet wird. Um dieses Ziel zu erreichen, sendet der Angreifer gefälschte (gefälschte) ARP-Nachrichten an ein Ethernet-LAN.

Szenario:

Virtual Machine A (VM-a) möchte IP-Datenverkehr von VM-a an Virtual Machine B (VM-b) senden, indem sie an die IP-Adresse von VM-b adressieren. Der Besitzer von Virtual Machine C möchte ARP-Spoofing verwenden, um so zu tun, als wäre ihre VM, VM-c, tatsächlich VM-b.

  1. VM-c sendet einen spekulativen Stream von ARP-Antworten an VM-a. Die ARP-Antworten behaupten, dass die MAC-Adresse in der Antwort (C_Mac) mit der IP-Adresse b_IP verknüpft ist

    Ergebnis: Da der Administrator die Switch-Port-Sperre aktiviert hat, werden diese Pakete alle gelöscht, da die Aktivierung der Switch-Port-Sperre den Identitätswechsel verhindert.

  2. VM-b sendet eine ARP-Antwort an VM-a, die behauptet, dass die MAC-Adresse in der Antwort (B_Mac) der IP-Adresse b_IP zugeordnet ist.

    Ergebnis: VM-a erhält die ARP-Antwort von VM-b.

Beispiel 2: Schutz vor IP-Spoofing:

IP-Adressen-Spoofing ist ein Prozess, der die Identität von Paketen verdeckt, indem IP-Pakete (Internet Protocol) mit einer gefälschten Quell-IP-Adresse erstellt werden.

Szenario:

Mandant C versucht, einen Denial-of-Service-Angriff mit seinem Host, Host-C, auf einem Remote-System durchzuführen, um ihre Identität zu verschleiern.

Versuch 1:

Mandant C setzt die IP-Adresse und die MAC-Adresse von Host-C auf die IP- und MAC-Adressen von VM-a (a_IP und a_Mac). Mandant C weist Host-C an, IP-Datenverkehr an ein Remote-System zu senden.

Ergebnis: Die Host-C-Pakete werden gelöscht. Dies liegt daran, dass der Administrator die Switch-Port-Sperre aktiviert hat. Die Host-C-Pakete werden gelöscht, da die Aktivierung der Switch-Port-Sperrung die Identitätswechsel verhindert.

Versuch 2:

Mandant C setzt die IP-Adresse von Host-C auf die IP-Adresse von VM-a (a_IP) und behält ihre ursprüngliche C_Mac bei.

Mandant C weist Host-C an, IP-Datenverkehr an ein Remote-System zu senden.

Ergebnis: Die Host-C-Pakete werden gelöscht. Dies liegt daran, dass der Administrator die Switch-Port-Sperre aktiviert hat, wodurch Identitätswechsel verhindert werden.

Beispiel 3: Webhosting:

Szenario:

Alice ist Infrastrukturadministrator.

Einer ihrer Mieter, Mieter B, hostet mehrere Websites von ihrer VM, VM-b. Jede Website benötigt eine eigene IP-Adresse, die auf derselben virtuellen Netzwerkschnittstelle (VIF) gehostet wird.

Alice konfiguriert Host-B VIF so neu, dass sie auf einem einzigen MAC, aber viele IP-Adressen gesperrt werden.

Funktionsweise der Switch-Port-Verriegelung

Mit der Switch-Port-Sperrfunktion können Sie die Paketfilterung auf einer oder mehreren von zwei Ebenen steuern:

  • VIF-Ebene. Die Einstellungen, die Sie im VIF konfigurieren, bestimmen, wie Pakete gefiltert werden. Sie können die VIF so einstellen, dass die VM keinen Datenverkehr sendet, die VIF so beschränken, dass sie nur Datenverkehr mit der zugewiesenen IP-Adresse senden kann, oder es der VM erlauben, Datenverkehr an eine beliebige IP-Adresse im Netzwerk zu senden, die mit dem VIF verbunden ist.

  • Netzwerkebene. Das Citrix Hypervisor Netzwerk bestimmt, wie Pakete gefiltert werden. Wenn der Sperrmodus eines VIF auf eingestellt istnetwork_default, bezieht er sich auf die Sperreinstellung auf Netzwerkebene, um zu bestimmen, welcher Datenverkehr zugelassen werden soll.

Unabhängig davon, welchen Netzwerkstapel Sie verwenden, funktioniert das Feature auf die gleiche Weise. Wie jedoch in den folgenden Abschnitten ausführlicher beschrieben, unterstützt die Linux-Bridge die Switch-Port Sperren in IPv6 nicht vollständig.

VIF-Sperrmoduszustände

Die Citrix Hypervisor or-Switch-Port-Sperrfunktion bietet einen Sperrmodus, mit dem Sie VIFs in vier verschiedenen Zuständen konfigurieren können. Diese Zustände gelten nur, wenn das VIF an eine ausgeführte virtuelle Maschine angeschlossen ist.

! [Diese Abbildung zeigt, wie sich drei verschiedene VIF-Sperrmoduszustände verhalten, wenn der Netzwerksperrmodus auf Entsperrt eingestellt ist und der VIF-Status konfiguriert ist. Im ersten Bild ist der VIF-Status standardmäßig festgelegt, sodass kein Datenverkehr von der VM gefiltert wird. Das VIF sendet oder empfängt keine Pakete, da der Sperrmodusdisabled im zweiten Bild auf eingestellt ist. Im dritten Bild ist der VIF-Status auf gesperrt festgelegt. Das bedeutet, dass das VIF Pakete nur dann senden kann, wenn diese Pakete die richtige MAC und IP-Adresse enthalten.] (/en-us/citrix-hypervisor/media/vif-switch-port-locking-modes.png)

  • Network_default. Wenn der VIF-Status auf festgelegt istnetwork_default, verwendet Citrix Hypervisor dendefault-locking-modeNetzwerkparameter, um zu ermitteln, ob und wie Pakete gefiltert werden, die durch das VIF übertragen werden. Das Verhalten variiert je nachdem, ob für das zugeordnete Netzwerk der Standardsparameter für den Netzwerksperrmodus auf deaktiviert oder entsperrt festgelegt ist:

    -default-locking-mode=disabled, wendet Citrix Hypervisor eine Filterregel an, damit die VIF den gesamten Datenverkehr löscht.

    -default-locking-mode=entsperrt, entfernt Citrix Hypervisor alle Filterregeln, die mit der VIF verknüpft sind. Standardmäßig ist der Standardparameter für den Sperrmodus auf eingestelltunlocked.

    Hinweise zumdefault-locking-mode Parameter finden Sie unterNetzwerkbefehle .

    Der Standardsperrmodus des Netzwerks hat keine Auswirkungen auf angeschlossene VIFs, deren Sperrstatus etwas anderes ist alsnetwork_default.

    Hinweis:

    Ein Netzwerk, dasdefault-locking-mode aktive VIFs besitzt, kann nicht geändert werden.

  • Verriegelt. Citrix Hypervisor wendet Filterregeln an, sodass nur Datenverkehr, der an die angegebene MAC- und IP-Adressen gesendet wird, über das VIF gesendet werden darf. Wenn in diesem Modus keine IP-Adressen angegeben sind, kann die VM keinen Datenverkehr über diese VIF in diesem Netzwerk senden.

    Um die IP-Adressen anzugeben, von denen das VIF Datenverkehr akzeptiert, verwenden Sie die IPv4- oder IPv6-IP-Adressen mithilfe deripv4_allowed Parameteripv6_allowed oder. Wenn Sie jedoch die Linux-Brücke konfiguriert haben, geben Sie keine IPv6-Adressen ein.

    Mit Citrix Hypervisor können Sie IPv6-Adressen eingeben, wenn die Linux-Brücke aktiv ist. Citrix Hypervisor kann jedoch nicht anhand der eingegebenen IPv6-Adressen filtern. Der Grund dafür ist, dass die Linux-Brücke keine Module zum Filtern von Neighbor Discovery Protocol (NDP) -Paketen hat. Daher kann kein vollständiger Schutz implementiert werden, und Gäste könnten sich durch Fälschen von NDP-Paketen einen anderen Gast ausgeben. Wenn Sie also nur eine IPv6-Adresse angeben, lässt Citrix Hypervisor den gesamten IPv6-Datenverkehr durch das VIF leiten. Wenn Sie keine IPv6-Adressen angeben, lässt Citrix Hypervisor keinen IPv6-Datenverkehr an die VIF passieren.

  • Entsperrt. Der gesamte Netzwerkverkehr kann durch das VIF geleitet werden. Das heißt, keine Filter werden auf einen Datenverkehr angewendet, der zum VIF oder aus dem VIF geht.

  • Deaktiviert. Es ist kein Verkehr durch die VIF erlaubt. (Das heißt, Citrix Hypervisor wendet eine Filterregel an, damit die VIF den gesamten Datenverkehr löscht.)

Konfigurieren der Switch-Port-Sperre

Dieser Abschnitt enthält drei verschiedene Verfahren:

  • Einschränken von VIFs auf die Verwendung einer bestimmten IP-Adresse

  • Fügen Sie eine IP-Adresse zu einer vorhandenen eingeschränkten Liste hinzu. Zum Beispiel, um einer VIF eine IP-Adresse hinzuzufügen, wenn die VM ausgeführt wird und mit dem Netzwerk verbunden ist (z. B. wenn Sie ein Netzwerk vorübergehend offline schalten).

  • Entfernen einer IP-Adresse aus einer vorhandenen eingeschränkten Liste

Wenn der Sperrmodus eines VIF auf eingestellt istlocked, können nur die Adressen verwendet werden, die in denipv4-allowedParameternipv6-allowedoder angegeben sind.

Da VIFs in einigen relativ seltenen Fällen mehr als eine IP-Adresse haben können, können mehrere IP-Adressen für ein VIF angegeben werden.

Sie können diese Prozeduren vor oder nach dem Einstecken des VIF durchführen (oder die VM gestartet wird).

Ändern Sie den Standardsperrmodus in „Gesperrt“, wenn dieser Modus nicht bereits verwendet wird, indem Sie den folgenden Befehl ausführen:

xe vif-param-set uuid=vif-uuid locking-mode=locked

Dievif-uuid stellt die UUID der VIF dar, die zum Senden von Datenverkehr zugelassen werden soll. Um die UUID zu erhalten, führen Sie denvif-list Befehl xe auf dem Host aus. vm-uuid Gibt die virtuelle Maschine an, für die die Informationen angezeigt werden. Die Geräte-ID gibt die Gerätenummer des VIF an.

Führen Sie denvif-param-set Befehl aus, um die IP-Adressen anzugeben, von denen die virtuelle Maschine Datenverkehr senden kann. Führen Sie eine oder mehrere der folgenden Aktionen aus:

  • Geben Sie mindestens ein IPv4-IP-Adressenziel an. Zum Beispiel:

     xe vif-param-set uuid=vif-uuid ipv4-allowed=comma separated list of ipv4-addresses
    
  • Geben Sie mindestens ein IPv6-IP-Adressenziel an. Zum Beispiel:

     xe vif-param-set uuid=vif-uuid ipv6-allowed=comma separated list of ipv6-addresses
    

Sie können mehrere IP-Adressen angeben, indem Sie sie durch ein Komma trennen, wie im vorherigen Beispiel gezeigt.

Nachdem Sie das Verfahren zum Beschränken einer VIF auf die Verwendung einer bestimmten IP-Adresse ausgeführt haben, können Sie eine oder mehrere IP-Adressen hinzufügen, die das VIF verwenden kann.

Führen Sie denvif-param-add Befehl aus, um die IP-Adressen der vorhandenen Liste hinzuzufügen. Führen Sie eine oder mehrere der folgenden Aktionen aus:

  • Geben Sie die IPv4-IP-Adresse an. Zum Beispiel:

     xe vif-param-add uuid=vif-uuid ipv4-allowed=comma separated list of ipv4-addresses
    
  • Geben Sie die IPv6-IP-Adresse an. Zum Beispiel:

     xe vif-param-add uuid=vif-uuid ipv6-allowed=comma separated list of ipv6-addresses
    

Wenn Sie ein VIF auf die Verwendung von zwei oder mehr IP-Adressen beschränken, können Sie eine dieser IP-Adressen aus der Liste löschen.

Führen Sie denvif-param-remove Befehl aus, um die IP-Adressen aus der vorhandenen Liste zu löschen. Führen Sie eine oder mehrere der folgenden Aktionen aus:

  • Geben Sie die zu löschende IPv4-IP-Adresse an. Zum Beispiel:

     xe vif-param-remove uuid=vif-uuid ipv4-allowed=comma separated list of ipv4-addresses
    
  • Geben Sie die zu löschende IPv6-IP-Adresse an. Zum Beispiel:

     xe vif-param-remove uuid=vif-uuid ipv6-allowed=comma separated list of ipv6-addresses
    

Verhindern, dass eine virtuelle Maschine Datenverkehr von einem bestimmten Netzwerk sendet oder empfängt

Das folgende Verfahren verhindert, dass eine virtuelle Maschine über eine bestimmte VIF kommuniziert. Wenn ein VIF eine Verbindung zu einem bestimmten Citrix Hypervisor Netzwerk herstellt, können Sie dieses Verfahren verwenden, um zu verhindern, dass eine virtuelle Maschine Datenverkehr von einem bestimmten Netzwerk sendet oder empfängt. Dies bietet eine detailliertere Steuerungsebene als das Deaktivieren eines gesamten Netzwerks.

Wenn Sie den CLI-Befehl verwenden, müssen Sie das VIF nicht trennen, um den Sperrmodus des VIF einzustellen. Der Befehl ändert die Filterregeln, während das VIF ausgeführt wird. In diesem Fall scheint die Netzwerkverbindung noch vorhanden zu sein, die VIF löscht jedoch alle Pakete, die die VM zu senden versucht.

Tipp:

Um die UUID eines VIF zu finden, führen Sie denvif-list Befehl xe auf dem Host aus. Die Geräte-ID gibt die Gerätenummer des VIF an.

Um zu verhindern, dass ein VIF Datenverkehr empfängt, deaktivieren Sie die VIF, die mit dem Netzwerk verbunden ist, von dem aus die VM den Datenverkehr nicht empfängt:

xe vif-param-set uuid=vif-uuid locking-mode=disabled

Sie können die VIF auch in XenCenter deaktivieren, indem Sie die virtuelle Netzwerkschnittstelle auf der Registerkarte „Netzwerk“ der VM auswählen und auf „Deaktivieren“ klicken.

Entfernen der Einschränkung eines VIF auf eine IP-Adresse

Gehen Sie folgendermaßen vor, um den Standardstatus (Original-) Sperrmodus wiederherzustellen. Wenn Sie eine VIF erstellen, konfiguriert Citrix Hypervisor diese standardmäßig so, dass sie nicht auf die Verwendung einer bestimmten IP-Adresse beschränkt ist.

Um eine VIF in einen entsperrten Zustand zurückzusetzen, ändern Sie den VIF-Standardsperrmodus in „Entsperrt“. Wenn dieser Modus nicht bereits verwendet wird, führen Sie den folgenden Befehl aus:

xe vif-param-set uuid=vif_uuid locking-mode=unlocked

Vereinfachte Konfiguration des VIF-Sperrmodus in der Cloud

Anstatt die Befehle für den VIF-Sperrmodus für jede VIF auszuführen, können Sie sicherstellen, dass alle VIFs standardmäßig deaktiviert sind. Dazu müssen Sie die Paketfilterung auf Netzwerkebene ändern. Das Ändern der Paketfilterung bewirkt, dass das Citrix Hypervisor Netzwerk bestimmt, wie Pakete gefiltert werden, wie im vorherigen Abschnitt Funktionsweise der Switch-Port-Sperrungbeschrieben.

Insbesondere legt diedefault-locking-mode Einstellung eines Netzwerks fest, wie sich neue VIFs mit Standardeinstellungen verhalten. Wenn ein VIF auf eingestelltlocking-mode istdefault , bezieht sich der VIF auf den Netzwerksperrmodus (default-locking-mode ), um zu bestimmen, ob und wie Pakete gefiltert werden, die durch das VIF geleitet werden:

  • Entsperrt. Wenn derdefault-locking-mode Netzwerkparameter auf festgelegt istunlocked , lässt Citrix Hypervisor die VM Datenverkehr an eine beliebige IP-Adresse im Netzwerk senden, mit der das VIF eine Verbindung herstellt.

  • Deaktiviert. Wenn derdefault-locking-mode Parameter auf festgelegt istdisabled , wendet Citrix Hypervisor eine Filterregel an, sodass die VIF den gesamten Datenverkehr löscht.

Standardmäßig sind diedefault-locking-mode für alle in XenCenter erstellten und mit der CLI erstellten Netzwerke auf eingestelltunlocked .

Wenn Sie den Sperrmodus des VIF auf den Standardmodus (network_default) festlegen, können Sie eine grundlegende Standardkonfiguration (auf Netzwerkebene) für alle neu erstellten VIFs erstellen, die eine Verbindung zu einem bestimmten Netzwerk herstellen.

Diese Abbildung zeigt, wie das VIF, wenn ein VIF auf seine Standardeinstellung (locking-mode ) gesetztnetwork_default ist, das Netzwerk verwendet,default-locking-mode um sein Verhalten zu bestimmen.

 Diese Abbildung zeigt, wie ein VIF bei seiner Standardeinstellung (locking-mode=network_default) prüft, ob die mit dem Standardsperrmodus verknüpfte Einstellung angezeigt wird. In dieser Abbildung ist das Netzwerk auf default-locking-mode=disabled gesetzt, so dass kein Datenverkehr durch die VIF passieren kann.

Beispielsweise werden VIFs standardmäßig mit ihrerlocking-mode Einstellung auf erstelltnetwork_default . Wenn Sie dasdefault-locking-mode= eines Netzwerks festlegendisabled, werden alle neuen VIFs deaktiviert, für die Sie den Sperrmodus nicht konfiguriert haben. Die VIFs bleiben deaktiviert, bis Sie entweder (a) denlocking-mode Parameter des einzelnen VIF ändern oder (b) die VIFs explizitlocking-mode auf `entlocked setzen. Dies ist hilfreich, wenn Sie einer bestimmten VM genug vertrauen, damit Sie den Datenverkehr überhaupt nicht filtern möchten.

So ändern Sie die Standardeinstellung für den Sperrmodus eines Netzwerks:

Ändern Sie nach dem Erstellen des Netzwerks den Standardsperrmodus, indem Sie den folgenden Befehl ausführen:

xe network-param-set uuid=network-uuid default-locking-mode=[unlocked|disabled]

Hinweis:

Führen Sie dennetwork-list Befehl xe aus, um die UUID für ein Netzwerk abzurufen. Dieser Befehl zeigt die UUIDs für alle Netzwerke auf dem Host an, auf dem Sie den Befehl ausgeführt haben.

So überprüfen Sie die Standardeinstellung für den Sperrmodus eines Netzwerks:

Führen Sie einen der folgenden Befehle aus:

xe network-param-get uuid=network-uuid param-name=default-locking-mode

ODER

xe network-list uuid=network-uuid params=default-locking-mode

Netzwerkeinstellungen für die VIF-Datenverkehrsfilterung verwenden

Im folgenden Verfahren wird ein VIF auf einer virtuellen Maschine angewiesen, mithilfe der Citrix Hypervisordefault-locking-mode Netzwerkeinstellungen im Netzwerk selbst zu bestimmen, wie der Datenverkehr gefiltert wird.

  1. Ändern Sie den VIF-Sperrstatus innetwork_default, wenn dieser Modus nicht bereits verwendet wird, indem Sie den folgenden Befehl ausführen:

    xe vif-param-set uuid=vif_uuid locking-mode=network_default
    
  2. Ändern Sie den Standardsperrmodus inunlocked, wenn dieser Modus nicht bereits verwendet wird, indem Sie den folgenden Befehl ausführen:

    xe network-param-set uuid=network-uuid default-locking-mode=unlocked