Gérer la mise en réseau

Les procédures de configuration réseau décrites dans cette section diffèrent selon que vous configurez un serveur autonome ou un serveur faisant partie d’un pool de ressources.

Réseaux privés interserveurs

Les versions précédentes de HASH (0x2c1a078) vous permettaient de créer des réseaux privés à serveur unique qui permettaient aux machines virtuelles exécutées sur le même hôte de communiquer entre elles. La fonctionnalité de réseau privé interserveur , qui étend le concept de réseau privé à serveur unique pour permettre aux machines virtuelles sur différents hôtes de communiquer entre elles. Les réseaux privés inter-serveurs combinent les mêmes propriétés d’isolement d’un réseau privé à serveur unique, mais avec la possibilité supplémentaire d’étendre les hôtes sur un pool de ressources. Cette combinaison permet d’utiliser des fonctionnalités d’agilité des machines virtuelles telles que la migration en direct pour les machines virtuelles avec des connexions à des réseaux privés multiserveurs.

Les réseaux privés inter-serveurs sont isolés. Les machines virtuelles qui ne sont pas connectées au réseau privé ne peuvent pas détecter ou injecter du trafic vers le réseau. Cela se produit même lorsqu’ils sont sur le même hôte physique avec des VIF connectés à un réseau sur le même périphérique réseau physique (PIF) sous-jacent. Les VLAN offrent une fonctionnalité similaire. Cependant, contrairement aux VLAN, les réseaux privés multiserveurs offrent une isolation sans nécessiter la configuration d’une structure de commutation physique, à l’aide du protocole de tunneling IP GRE (Generic Routing Encapsulation).

Les réseaux privés offrent les avantages suivants sans nécessiter de commutateur physique :

  • Les propriétés d’isolement des réseaux privés à serveur unique

  • Possibilité d’étendre un pool de ressources, permettant aux machines virtuelles connectées à un réseau privé de vivre sur plusieurs hôtes dans le même pool

  • Compatibilité avec des fonctionnalités telles que la migration en direct

Créez des réseaux privés inter-serveurs sur une interface de gestion ou une interface secondaire, car ils nécessitent une carte réseau adressable IP. Vous pouvez utiliser n’importe quelle carte réseau compatible IP comme transport réseau sous-jacent. Si vous choisissez de placer le trafic réseau privé multiserveur sur une interface secondaire, cette interface secondaire doit se trouver sur un sous-réseau distinct.

Si des interfaces de gestion ou secondaire se trouvent sur le même sous-réseau, le trafic est routé de manière incorrecte.

Remarques :

Pour créer un réseau privé multiserveur, les conditions suivantes doivent être remplies :

  • Tous les hôtes du pool doivent utiliser HASH (0x2c1a078) ou supérieur.

  • Tous les hôtes du pool doivent utiliser le vSwitch pour la pile réseau.

  • Le contrôleur vSwitch doit être en cours d’exécution et vous devez avoir ajouté le pool. (Le pool doit avoir un contrôleur vSwitch Controller configuré qui gère les tâches d’initialisation et de configuration requises pour la connexion vSwitch.)

  • Vous devez créer le réseau privé multiserveur sur une carte réseau configurée en tant qu’interface de gestion. Il peut s’agir de l’interface de gestion ou d’une interface secondaire (PIF activé IP) que vous configurez spécifiquement à cette fin, à condition qu’elle se trouve sur un sous-réseau distinct.

Pour plus d’informations sur la configuration du vSwitch, reportez-vous à la sectionvSwitch et contrôleur. Pour obtenir des procédures basées sur l’interface utilisateur pour configurer des réseaux privés, consultez l’aide HASH (0x2e6c8e8).

Créer des réseaux dans un serveur autonome

Étant donné que des réseaux externes sont créés pour chaque PIF au cours de l’installation de l’hôte, la création de réseaux supplémentaires n’est généralement requise que pour :

  • Utiliser un réseau privé

  • Prise en charge des opérations avancées telles que des VLAN ou des liaisons NIC

Pour plus d’informations sur l’ajout ou la suppression de réseaux à l’aide de HASH (0x2e6c8e8), consultez l’aide HASH (0x2e6c8e8).

Ouvrez la console de texte du serveur HASH (0x2e68218).

Créez le réseau à l’aide de la commande network-create, qui renvoie l’UUID du réseau nouvellement créé :

xe network-create name-label=mynetwork

À ce stade, le réseau n’est pas connecté à un PIF et est donc interne.

Créer des réseaux dans les pools de ressources

Tous les serveurs HASH (0x2e68218) dans un pool de ressources doivent avoir le même nombre de cartes réseau physiques (NIC). Cette exigence n’est pas strictement appliquée lorsqu’un hôte est joint à un pool.

Comme tous les hôtes d’un pool partagent un ensemble commun de réseau. Il est important d’avoir la même configuration de réseau physique pour les serveurs HASH (0x2e68218) dans un pool. Les fichiers PIF sur les hôtes individuels sont connectés à des réseaux à l’échelle du pool en fonction du nom du périphérique. Par exemple, tous les serveurs HASH (0x2e68218) d’un pool avec carte réseau eth0 ont un PIF correspondant branché auNetwork 0 réseau à l’échelle du pool. Il en va de même pour les hôtes avec des cartes réseau eth1 et des autres cartes réseau présentes dans au moins un serveur HASH (0x2e68218) dans le pool.Network 1``

Si un serveur HASH (0x2e68218) a un nombre différent de cartes réseau que les autres hôtes du pool, des complications peuvent survenir. Les complications peuvent survenir parce que tous les réseaux de pool ne sont pas valides pour tous les hôtes de pool. Par exemple, si les hôtes host1 et host2 sont dans le même pool et que host1 a quatre cartes réseau et host2 n’en a que deux, seuls les réseaux connectés aux PIF correspondant à eth0 et eth1 sont valides sur host2 . Les machines virtuelles sur host1 avec des VIF connectés à des réseaux correspondant à eth2 et eth3 ne peuvent pas migrer vers l’hôte host2.

Créer des VLAN

Pour les serveurs d’un pool de ressources, vous pouvez utiliser la commande pool-vlan-create. Cette commande crée le VLAN et crée automatiquement et plug-ins les PIF requis sur les hôtes du pool. Pour plus d’informations, reportez-vous à la section pool-vlan-create.

Ouvrez la console serveur HASH (0x2e68218).

Créez un réseau à utiliser avec le VLAN. L’UUID du nouveau réseau est retourné :

xe network-create name-label=network5

Utilisez la commande pif-list pour trouver l’UUID du PIF correspondant à la carte réseau physique prenant en charge la balise VLAN souhaitée. Les UUID et les noms de périphériques de tous les PIF sont renvoyés, y compris les VLAN existants :

xe pif-list

Créez un objet VLAN en spécifiant la balise PIF physique et VLAN souhaitée sur toutes les machines virtuelles à connecter au nouveau VLAN. Un nouveau PIF est créé et branché au réseau spécifié. L’UUID du nouvel objet PIF est retourné.

xe vlan-create network-uuid=network_uuid pif-uuid=pif_uuid vlan=5

Attachez des VIF VM au nouveau réseau. Voir Création de réseaux dans un serveur autonome pour plus de détails.

Créer des liaisons NIC sur un hôte autonome

Nous vous recommandons d’utiliser HASH (0x2e6c8e8) pour créer des liaisons NIC. Pour obtenir des instructions, consultez l’aide HASH (0x2e6c8e8).

Cette section décrit comment utiliser l’interface de ligne de commande xe pour lier des interfaces NIC sur des serveurs HASH (0x2e68218) qui ne sont pas dans un pool. Pour plus d’informations sur l’utilisation de l’interface de ligne de commande xe pour créer des liaisons NIC sur des serveurs HASH (0x2e68218) qui composent un pool de ressources, reportez-vous à la section Création de liaisons NIC dans les pools de ressources.

Créer une liaison NIC

Lorsque vous liez une carte réseau, la liaison absorbe le PIF/NIC utilisé comme interface de gestion. À partir de HASH (0x2c1a078) , l’interface de gestion est automatiquement déplacée vers le PIF de liaison.

  1. Utilisez lanetwork-create commande pour créer un réseau à utiliser avec la carte réseau liée. L’UUID du nouveau réseau est retourné :

    xe network-create name-label=bond0
    
  2. Utilisez lapif-list commande pour déterminer les UUID des PIF à utiliser dans la liaison :

    xe pif-list
    
  3. Faites l’une des opérations suivantes :

    • Pour configurer la liaison en mode actif-actif (par défaut), utilisez la commande bond-create pour créer la liaison. À l’aide de virgules pour séparer les paramètres, spécifiez l’UUID réseau nouvellement créé et les UUID des PIF à coller :

       xe bond-create network-uuid=network_uuid /
            pif-uuids=pif_uuid_1,pif_uuid_2,pif_uuid_3,pif_uuid_4
      

      Tapez deux UUID lorsque vous liez deux cartes réseau et quatre UUID lorsque vous liez quatre cartes réseau. L’UUID de la liaison est retourné après l’exécution de la commande.

    • Pour configurer la liaison en mode actif-passif ou liaison LACP, utilisez la même syntaxe, ajoutez lemode paramètre facultatif et spécifiez lacp ou active-backup :

       xe bond-create network-uuid=network_uuid pif-uuids=pif_uuid_1, /
            pif_uuid_2,pif_uuid_3,pif_uuid_4 /
            mode=balance-slb | active-backup | lacp
      

Contrôler l’adresse MAC du lien

Lorsque vous liez l’interface de gestion, elle sous-sume le PIF/NIC utilisé comme interface de gestion. Si l’hôte utilise DHCP, l’adresse MAC du lien est la même que le PIF/NIC utilisé. L’adresse IP de l’interface de gestion peut rester inchangée.

Vous pouvez modifier l’adresse MAC du lien afin qu’elle soit différente de l’adresse MAC de la carte d’interface de gestion (actuelle). Toutefois, lorsque la liaison est activée et que l’adresse MAC/IP utilisée change, les sessions réseau existantes vers l’hôte sont supprimées.

Vous pouvez contrôler l’adresse MAC d’un lien de deux façons :

  • Unmac paramètre facultatif peut être spécifié dans labond-create commande. Vous pouvez utiliser ce paramètre pour définir l’adresse MAC du lien sur n’importe quelle adresse arbitraire.

  • Si lemac paramètre n’est pas spécifié, HASH (0x2c1a078) utilise l’adresse MAC de l’interface de gestion s’il s’agit de l’une des interfaces de la liaison. Si l’interface de gestion ne fait pas partie de la liaison, mais qu’une autre interface de gestion est, la liaison utilise l’adresse MAC (ainsi que l’adresse IP) de cette interface de gestion. Si aucune des cartes réseau de la liaison n’est une interface de gestion, la liaison utilise le MAC de la première carte réseau nommée.

Rétablir les liaisons NIC

Lors de la restauration du serveur HASH (0x2e68218) à une configuration non liée, labond-destroy commande configure automatiquement l’esclave primaire comme interface de l’interface de gestion. Par conséquent, tous les VIF sont déplacés vers l’interface de gestion. Si l’interface de gestion d’un hôte est sur l’interface liée VLAN balisée, lors de l’exécutionbond-destroy, le VLAN de gestion est déplacé vers l’esclave principal.

Le terme esclave principal fait référence au PIF dont la configuration MAC et IP a été copiée lors de la création de la liaison. Lors du collage de deux cartes réseau, l’esclave principal est :

  1. La carte réseau de l’interface de gestion (si l’interface de gestion est l’une des cartes réseau liées).

  2. Toute autre carte réseau avec une adresse IP (si l’interface de gestion ne faisait pas partie de la liaison).

  3. La première carte réseau nommée. Vous pouvez savoir lequel il est en exécutant les opérations suivantes :

    xe bond-list params=all
    

Créer des liaisons NIC dans les pools de ressources

Dans la mesure du possible, créez des liaisons NIC dans le cadre de la création initiale du pool de ressources, avant de joindre d’autres hôtes au pool ou de créer des machines virtuelles. Cela permet de répliquer automatiquement la configuration de liaison sur les hôtes au fur et à mesure qu’ils sont joints au pool et réduit le nombre d’étapes requises.

L’ajout d’une liaison NIC à un pool existant nécessite l’une des opérations suivantes :

  • Utilisation de l’interface de ligne de commande pour configurer les liaisons sur le maître, puis sur chaque membre du pool.

  • Utiliser l’interface de ligne de commande pour configurer des liaisons sur le maître, puis redémarrer chaque membre du pool afin qu’il hérite de ses paramètres du maître.

  • Utilisation de HASH (0x2e6c8e8) pour configurer les liaisons sur le maître. HASH (0x2e6c8e8) synchronise automatiquement les paramètres de mise en réseau sur les serveurs membres avec le maître, de sorte que vous n’avez pas besoin de redémarrer les serveurs membres.

Pour simplifier et éviter les erreurs de configuration, nous vous recommandons d’utiliser HASH (0x2e6c8e8) pour créer des liaisons NIC. Pour plus d’informations, consultez l’aide HASH(0x2e6c8e8).

Cette section décrit l’utilisation de l’interface de ligne de commande xe pour créer des interfaces réseau liées sur des serveurs HASH (0x2e68218) qui composent un pool de ressources. Pour plus d’informations sur l’utilisation de l’interface de ligne de commande xe pour créer des liaisons NIC sur un hôte autonome, reportez-vous à la section Création de liaisons NIC sur un hôte autonome.

Avertissement :

N’essayez pas de créer des liaisons réseau lorsque la haute disponibilité est activée. Le processus de création de liens perturbe la haute disponibilité en cours de pulsation et provoque l’auto-isolation des hôtes (ils s’éteignent d’eux-mêmes). Les hôtes peuvent ne pas redémarrer correctement et peuvent avoir besoin de lahost-emergency-ha-disable commande pour récupérer.

Sélectionnez l’hôte que vous souhaitez devenir maître. Par défaut, l’hôte maître appartient à un pool sans nom. Pour créer un pool de ressources avec l’interface de ligne de commande, renommez le pool sans nom existant :

xe pool-param-set name-label="New Pool" uuid=pool_uuid

Créez la liaison NIC comme décrit à la sectionCréer une liaison NIC.

Ouvrez une console sur un hôte que vous souhaitez joindre au pool et exécutez la commande :

xe pool-join master-address=host1 master-username=root master-password=password

Les informations de réseau et de liaison sont automatiquement répliquées sur le nouvel hôte. L’interface de gestion est automatiquement déplacée de la carte réseau hôte où elle a été initialement configurée vers le PIF lié. Autrement dit, l’interface de gestion est maintenant absorbée dans l’obligation, de sorte que l’ensemble de l’obligation fonctionne comme interface de gestion.

Utilisez lahost-list commande pour rechercher l’UUID de l’hôte en cours de configuration :

xe host-list

Avertissement :

n’essayez pas de créer des liaisons réseau lorsque la haute disponibilité est activée. Le processus de création de liens perturbe la haute disponibilité en cours de pulsation et provoque l’auto-isolation des hôtes (ils s’éteignent d’eux-mêmes). Les hôtes peuvent ne pas redémarrer correctement et vous devrez peut-être exécuter lahost-emergency-ha-disable commande pour récupérer.

Configurer une carte réseau de stockage dédiée

Vous pouvez utiliser HASH (0x2e6c8e8) ou l’interface de ligne de commande xe pour attribuer une adresse IP à une carte réseau et la dédier à une fonction spécifique, telle que le trafic de stockage. Lorsque vous configurez une carte réseau avec une adresse IP, vous le faites en créant une interface secondaire. (Le HASH de carte réseau compatible IP (0x2c1a078) utilisé pour la gestion est connu sous le nom d’interface de gestion.)

Lorsque vous souhaitez dédier une interface secondaire à un but spécifique, assurez-vous que la configuration réseau appropriée est en place. Ceci permet de s’assurer que la carte réseau est utilisée uniquement pour le trafic souhaité. Pour dédier une carte réseau au trafic de stockage, configurez la carte réseau, la cible de stockage, le commutateur et le VLAN de manière à ce que la cible soit uniquement accessible via la carte réseau attribuée. Si votre configuration physique et IP ne limite pas le trafic envoyé sur la carte réseau de stockage, vous pouvez envoyer du trafic, tel que le trafic de gestion sur l’interface secondaire.

Lorsque vous créez une nouvelle interface secondaire pour le trafic de stockage, vous devez lui attribuer une adresse IP qui est :

  • Sur le même sous-réseau que le contrôleur de stockage, le cas échéant, et

  • Pas sur le même sous-réseau que les autres interfaces secondaires ou l’interface de gestion.

Lorsque vous configurez des interfaces secondaires, chaque interface secondaire doit se trouver sur un sous-réseau distinct. Par exemple, si vous souhaitez configurer deux autres interfaces secondaires pour le stockage, vous devez disposer d’adresses IP sur trois sous-réseaux différents : un sous-réseau pour l’interface de gestion, un sous-réseau pour l’interface secondaire 1 et un sous-réseau pour l’interface secondaire 2.

Si vous utilisez la liaison pour la résilience de votre trafic de stockage, vous pouvez envisager d’utiliser LACP au lieu de la liaison pont Linux. Pour utiliser le collage LACP, vous devez configurer le vSwitch en tant que pile réseau. Pour plus d’informations, reportez-vous à la section Réseaux vSwitch.

Note :

Lorsque vous sélectionnez une carte réseau à configurer en tant qu’interface secondaire pour une utilisation avec les SR iSCSI ou NFS, assurez-vous que la carte réseau dédiée utilise un sous-réseau IP distinct qui n’est pas routable à partir de l’interface de gestion. Si cela n’est pas appliqué, le trafic de stockage peut être dirigé sur l’interface de gestion principale après le redémarrage d’un hôte, en raison de l’ordre dans lequel les interfaces réseau sont initialisées.

Assurez-vous que le PIF se trouve sur un sous-réseau distinct ou que le routage est configuré en fonction de la topologie de votre réseau pour forcer le trafic souhaité sur le PIF sélectionné.

Configurez une configuration IP pour le PIF, en ajoutant des valeurs appropriées pour le paramètre de mode. Si vous utilisez l’adressage IP statique, ajoutez les paramètres IP, masque de réseau, passerelle et DNS :

xe pif-reconfigure-ip mode=DHCP | Static uuid=pif-uuid

Définissez le paramètre disallow-unplug du PIF sur true :

xe pif-param-set disallow-unplug=true uuid=pif-uuid
xe pif-param-set other-config:management_purpose="Storage" uuid=pif-uuid

Si vous souhaitez utiliser une interface secondaire pour le stockage qui peut également être routée à partir de l’interface de gestion (en gardant à l’esprit que cette configuration n’est pas la meilleure pratique), vous avez deux options :

  • Après un redémarrage de l’hôte, assurez-vous que l’interface secondaire est correctement configurée. Utilisez lesxe pbd-unplug commandesxe pbd-plug and pour réinitialiser les connexions de stockage sur l’hôte. Cette commande redémarre la connexion de stockage et la route sur l’interface correcte.

  • Vous pouvez également supprimer l’xe pif-forget interface de la base de données HASH (0x2c1a078) et la configurer manuellement dans le domaine de contrôle. xe pif-forget est une option avancée et nécessite que vous soyez familier avec la configuration manuelle de la mise en réseau Linux.

Utiliser des cartes réseau compatibles SR-IOV

La virtualisation des E/S à racine unique (SR-IOV) est une technologie de virtualisation qui permet à un périphérique PCI unique d’apparaître sous la forme de plusieurs périphériques PCI sur le système physique. Le périphérique physique réel est connu sous le nom de fonction physique (PF) tandis que les autres sont connus sous le nom de fonctions virtuelles (VF). L’hyperviseur peut affecter un ou plusieurs VF à une machine virtuelle (VM) : l’invité peut alors utiliser le périphérique comme s’il avait été directement affecté.

L’attribution d’un ou de plusieurs VF de carte réseau à une machine virtuelle permet à son trafic réseau de contourner le commutateur virtuel. Lorsqu’elle est configurée, chaque machine virtuelle se comporte comme si elle utilisait directement la carte réseau, réduisant ainsi les frais de traitement et améliorant les performances.

Avantages de SR-IOV

Un VF SR-IOV a une meilleure performance que VIF. Il peut garantir la séparation matérielle entre le trafic de différentes machines virtuelles via la même carte réseau (en contournant la pile réseau HASH (0x2e68218)).

En utilisant cette fonctionnalité, vous pouvez :

  • Activez SR-IOV sur les cartes réseau qui prennent en charge SR-IOV.

  • Désactivez SR-IOV sur les cartes réseau prenant en charge SR-IOV.

  • Gérer les VF SR-IOV en tant que pool de ressources VF.

  • Attribuez des VF SR-IOV à une machine virtuelle.

  • Configurer les VF SR-IOV (par exemple, adresse MAC, VLAN, taux).

  • Exécutez des tests pour confirmer si SR-IOV est pris en charge dans le kit de certification automatisé.

Configuration du système

Configurez correctement la plate-forme matérielle pour prendre en charge SR-IOV. Les technologies suivantes sont requises :

  • Virtualisation MMU E/S (AMD-VI et Intel VT-D)

  • Interprétation de l’ID de routage alternatif (ARI)

  • Services de traduction d’adresses (ATS)

  • Services de contrôle d’accès (ACS)

Consultez la documentation fournie avec votre système pour savoir comment configurer le BIOS pour activer les technologies mentionnées.

Activer un réseau SR-IOV sur une carte réseau

Dans HASH (0x2e6c8e8), utilisez l’Assistant Nouveau réseau dans l’onglet Mise en réseau pour créer et activer un réseau SR-IOV sur une carte réseau.

Attribuer un réseau SR-IOV à l’interface virtuelle (niveau VM)

Dans HASH (0x2e6c8e8), au niveau de la machine virtuelle, utilisez l’assistant Ajouter une interface virtuelle dans l’onglet Mise en réseau pour ajouter un réseau SR-IOV en tant qu’interface virtuelle pour cette machine virtuelle. Consultez l’aide HASH(0x2e6c8e8) pour plus de détails.

NIC et invités pris en charge

Pour obtenir la liste des plates-formes matérielles et des cartes réseau prises en charge, reportez-vous à la sectionListe de compatibilité matérielle. Consultez la documentation fournie par le fournisseur pour un invité particulier afin de déterminer s’il prend en charge SR-IOV.

Limitations

  • Pour certaines cartes réseau utilisant des pilotes hérités (par exemple, la famille Intel I350), l’hôte doit être redémarré pour activer ou désactiver SR-IOV sur ces périphériques.

  • Seuls les invités HVM sont pris en charge avec SR-IOV.

  • Un réseau SR-IOV au niveau du pool ayant différents types de cartes réseau ne sont pas pris en charge.

  • Un VF SR-IOV et un VIF normal provenant de la même carte réseau peuvent ne pas être en mesure de communiquer entre eux en raison des limitations matérielles de la carte réseau. Pour permettre à ces hôtes de communiquer, assurez-vous que la communication utilise le modèle VF vers VF ou VIF vers VIF, et non VF vers VIF.

  • Les paramètres de qualité de service pour certains VF SR-IOV ne prennent pas en compte car ils ne prennent pas en charge la limitation de vitesse du réseau.

  • L’exécution de la migration en direct, de la suspension et du point de contrôle n’est pas prise en charge sur les machines virtuelles utilisant un VF SR-IOV.

  • Les VF SR-IOV ne prennent pas en charge le branchement à chaud.

  • Pour certaines cartes réseau dotées de pilotes de carte réseau hérités, un redémarrage peut être nécessaire même après le redémarrage de l’hôte, ce qui indique que la carte réseau n’est pas en mesure d’activer SR-IOV.

  • Les machines virtuelles créées dans les versions précédentes ne peuvent pas utiliser cette fonctionnalité à partir de HASH (0x2e6c8e8).

  • Si votre machine virtuelle possède un VF SR-IOV, les fonctions qui nécessitent une migration en direct ne sont pas possibles. Cela est dû au fait que la machine virtuelle est directement liée au VF de la carte réseau SR-IOV physique. Tout trafic réseau de machine virtuelle envoyé via un VF SR-IOV contourne le vSwitch. Par conséquent, il n’est pas possible de créer des ACL ou d’afficher la qualité de service (QoS).

  • Restriction matérielle : la fonction SR-IOV repose sur le contrôleur pour réinitialiser les fonctions du périphérique à un état vierge dans les 100 ms, à la demande de l’hyperviseur à l’aide de la fonction de réinitialisation du niveau de fonction (FLR).

  • SR-IOV peut être utilisé dans un environnement qui utilise la haute disponibilité. Toutefois, le SR-IOV n’est pas pris en compte dans la planification des capacités. Les machines virtuelles auxquelles des VF SR-IOV sont assignées sont redémarrées au maximum lorsqu’un hôte dans le pool dispose des ressources appropriées. Ces ressources comprennent SR-IOV activé sur le bon réseau et un VF gratuit.

Configurer les VF SR-IOV pour les pilotes hérités

Habituellement, le nombre maximal de VF qu’une carte réseau peut prendre en charge peut être déterminé automatiquement. Pour les cartes réseau utilisant des pilotes hérités (par exemple, la famille Intel I350), la limite est définie dans le fichier de configuration du module de pilote. La limite peut devoir être ajustée manuellement. Pour le définir au maximum, ouvrez le fichier à l’aide d’un éditeur et modifiez la ligne de départ :

## VFs-maxvfs-by-user:

Par exemple, pour définir le maximum de VF sur 4 pour le pilote igb, modifiez/etc/modprobe.d/igb.conf comme suit :

## VFs-param: max_vfs
## VFs-maxvfs-by-default: 7
## VFs-maxvfs-by-user: 4
options igb max_vfs=0

Remarques :

  • La valeur doit être inférieure ou égale à la valeur de la ligneVFs-maxvfs-by-default.

  • Ne modifiez aucune autre ligne de ces fichiers.

  • Effectuez les modifications avant d’activer SR-IOV.

CLI

Commandes SR-IOV/en-us/citrix-hypervisor/command-line-interface.html#sr-iov-commands[()]Pour obtenir des instructions CLI sur la création, la suppression, l’affichage de réseaux SR-IOV et l’affectation d’un VF SR-IOV à une machine virtuelle, reportez-vous à la section.

Contrôler le taux de données sortantes (QoS)

Pour limiter la quantité de données sortantes qu’ une machine virtuelle peut envoyer par seconde, définissez une valeur facultative de qualité de service (QoS) sur les interfaces virtuelles de machine virtuelle (VIF). Le paramètre vous permet de spécifier un débit de transmission maximal pour les paquets sortants en kilo-octets par seconde.

La valeur de qualité de service limite le taux de transmission de la machine virtuelle. Le paramètre Qualité de service ne limite pas la quantité de données que la machine virtuelle peut recevoir. Si une telle limite est souhaitée, nous vous recommandons de limiter le taux de paquets entrants plus haut dans le réseau (par exemple, au niveau du commutateur).

En fonction de la pile réseau configurée dans le pool, vous pouvez définir la valeur Quality of Service sur les interfaces virtuelles de VM (VIF) à l’un des deux endroits. Soit sur le contrôleur vSwitch, soit dans HASH (0x2c1a078) (à l’aide de l’interface de ligne de commande ou HASH (0x2e6c8e8)).

VSwitch

Méthodes de configuration :

  • Contrôleur vSwitch Il s’agit de la méthode préférée pour définir la vitesse de transmission maximale sur un VIF lorsque le vSwitch est la pile réseau. Lors de l’utilisation de la pile vSwitch, l’option de qualité de service HASH (0x2e6c8e8) n’est pas disponible.
  • Les commandes xe Il est possible de définir le débit de transmission de la qualité de service à l’aide des commandes de l’exemple qui suit. Cependant, la méthode préférée est via l’interface utilisateur de vSwitch Controller, qui fournit un contrôle plus finement affiné.

Pont Linux

Méthodes de configuration disponibles :

  • HASH (0x2e6c8e8) Vous pouvez définir la valeur limite de débit de transmission de qualité de service dans la boîte de dialogue des propriétés de l’interface virtuelle.
  • Les commandes xe Vous pouvez définir le débit de transmission de la qualité de service à l’aide de l’interface de ligne de commande à l’aide des commandes de la section suivante.

Important :

Lorsque vSwitch est configuré comme pile réseau, il est possible de configurer une valeur QoS par inadvertance sur vSwitch Controller et à l’intérieur du serveur HASH (0x2e68218). Dans ce cas, HASH (0x2c1a078) limite le trafic sortant en utilisant le taux le plus bas que vous avez défini.

Exemple de commande CLI pour QoS :

Pour limiter un VIF à une vitesse de transmission maximale de 100 kilo-octets par seconde à l’aide de l’interface de ligne de commande, utilisez lavif-param-set commande :

xe vif-param-set uuid=vif_uuid qos_algorithm_type=ratelimit
xe vif-param-set uuid=vif_uuid qos_algorithm_params:kbps=100

Note :

Si vous utilisez vSwitch Controller, nous vous recommandons de définir la limite de vitesse de transmission dans vSwitch Controller au lieu de cette commande CLI. Pour obtenir des instructions sur la définition de la limite de vitesse QoS dans vSwitch Controller, reportez-vous à la sectionvSwitch et contrôleur.

Modifier les options de configuration réseau

Cette section explique comment modifier la configuration réseau de votre serveur HASH (0x2e68218). Il comprend :

  • Modification du nom d’hôte (c’est-à-dire le nom du système de noms de domaine (DNS))

  • Ajout ou suppression de serveurs DNS

  • Modification des adresses IP

  • Modification de la carte réseau utilisée comme interface de gestion

  • Ajout d’une nouvelle carte réseau physique au serveur

  • Ajout d’un objectif à un réseau

  • Activation du filtrage ARP (verrouillage du port de commutation)

Nom d’hôte

Le nom d’hôte système, également connu sous le nom de domaine ou de nom DNS, est défini dans la base de données à l’échelle du pool et modifié à l’aide de la commandexe host-set-hostname-live CLI comme suit :

xe host-set-hostname-live host-uuid=host_uuid host-name=host-name

Le nom d’hôte du domaine de contrôle sous-jacent change dynamiquement pour refléter le nouveau nom d’hôte.

Serveurs DNS

Pour ajouter ou supprimer des serveurs DNS dans la configuration d’adressage IP du serveur HASH (0x2e68218), utilisez lapif-reconfigure-ip commande. Par exemple, pour un PIF avec une IP statique :

pif-reconfigure-ip uuid=pif_uuid mode=static DNS=new_dns_ip

Modifier la configuration de l’adresse IP d’un hôte autonome

Vous pouvez utiliser l’interface de ligne de commande xe pour modifier la configuration de l’interface réseau. Ne modifiez pas directement les scripts de configuration réseau sous-jacents.

Pour modifier la configuration de l’adresse IP d’un PIF, utilisez la commandepif-reconfigure-ip CLI. pif-reconfigure-ipPour plus de détails sur les paramètres de lapif-reconfigure-ipcommande, reportez-vous à la section. Reportez-vous à la section suivante pour plus d’informations sur la modification des adresses IP de l’hôte dans les pools de ressources.

Modifier la configuration de l’adresse IP dans les pools de ressources

Les serveurs HASH (0x2e68218) dans les pools de ressources ont une adresse IP de gestion unique utilisée pour la gestion et la communication à destination et en provenance d’autres hôtes du pool. Les étapes requises pour modifier l’adresse IP de l’interface de gestion d’un hôte sont différentes pour les hôtes maîtres et les autres hôtes.

Note :

Vous devez être prudent lorsque vous modifiez l’adresse IP d’un serveur et d’autres paramètres de mise en réseau. En fonction de la topologie du réseau et de la modification apportée, les connexions au stockage réseau peuvent être perdues. Dans ce cas, le stockage doit être rebranché à l’aide de la fonction Re pair Storage dans HASH (0x2e6c8e8) ou à l’aide de la commandepbd-plug CLI. Pour cette raison, nous vous recommandons de migrer des machines virtuelles loin du serveur avant de modifier sa configuration IP.

Utilisez la commandepif-reconfigure-ip CLI pour définir l’adresse IP comme vous le souhaitez. pif-reconfigure-ipPour plus de détails sur les paramètres de lapif-reconfigure-ipcommande, reportez-vous à la section. :

xe pif-reconfigure-ip uuid=pif_uuid mode=DHCP

Utilisez la commandehost-list CLI pour confirmer que l’hôte membre s’est correctement reconnecté à l’hôte maître en vérifiant que tous les autres serveurs HASH (0x2e68218) du pool sont visibles :

xe host-list

La modification de l’adresse IP du serveur HASH maître (0x2e68218) nécessite des étapes supplémentaires. En effet, chaque membre du pool utilise l’adresse IP annoncée du maître de pool pour la communication. Les membres du pool ne savent pas comment contacter le maître lorsque son adresse IP change.

Dans la mesure du possible, utilisez une adresse IP dédiée qui n’est pas susceptible de changer pendant la durée de vie du pool pour les maîtres de pool.

Utilisez la commandepif-reconfigure-ip CLI pour définir l’adresse IP comme vous le souhaitez :

xe pif-reconfigure-ip uuid=pif_uuid mode=DHCP

Lorsque l’adresse IP du maître de pool change, tous les hôtes membres entrent en mode d’urgence lorsqu’ils ne parviennent pas à contacter l’hôte maître.

Sur le maître de pool, utilisez lapool-recover-slaves commande pour forcer le maître à contacter chaque membre du pool et à les informer de la nouvelle adresse IP principale :

xe pool-recover-slaves

Interface de gestion

Lorsque HASH (0x2c1a078) est installé sur un hôte avec plusieurs cartes réseau, une carte réseau est sélectionnée pour être utilisée comme interface de gestion. L’interface de gestion est utilisée pour les connexions HASH (0x2e6c8e8) à l’hôte et pour la communication hôte à hôte.

Utilisez lapif-list commande pour déterminer quelle PIF correspond à la carte réseau à utiliser comme interface de gestion. L’UUID de chaque PIF est retourné.

xe pif-list

Utilisez lapif-param-list commande pour vérifier la configuration d’adressage IP pour le PIF utilisé pour l’interface de gestion. Si nécessaire, utilisez la commande pif-reconfigure-ip pour configurer l’adressage IP pour le PIF à utiliser.

xe pif-param-list uuid=pif_uuid

Utilisez la commandehost-management-reconfigure CLI pour modifier le PIF utilisé pour l’interface de gestion. Si cet hôte fait partie d’un pool de ressources, cette commande doit être émise sur la console hôte membre :

xe host-management-reconfigure pif-uuid=pif_uuid

Utilisez lanetwork-list commande pour déterminer quel PIF correspond à la carte réseau à utiliser comme interface de gestion pour tous les hôtes du pool. L’UUID du réseau à l’échelle du pool est retourné.

xe network-list

Utilisez lanetwork-param-list commande pour récupérer les UUID PIF de tous les hôtes du pool. Utilisez lapif-param-list commande pour vérifier la configuration d’adressage IP pour le PIF de l’interface de gestion. Si nécessaire, utilisez la commande pif-reconfigure-ip pour configurer l’adressage IP pour le PIF à utiliser.

xe pif-param-list uuid=pif_uuid

Utilisez la commandepool-management-reconfigure CLI pour modifier le PIF utilisé pour l’interface de gestion répertoriée dans la liste Réseaux.

xe pool-management-reconfigure network-uuid=network_uuid

Désactiver l’accès à la gestion

Pour désactiver entièrement l’accès à distance à la console de gestion, utilisez la commandehost-management-disable CLI.

Avertissement :

Lorsque l’interface de gestion est désactivée, vous devez vous connecter sur la console hôte physique pour effectuer des tâches de gestion. Les interfaces externes telles que HASH (0x2e6c8e8) ne fonctionnent pas lorsque l’interface de gestion est désactivée.

Ajouter une nouvelle carte réseau physique

Installez une nouvelle carte réseau physique sur votre serveur HASH (0x2e68218) de la manière habituelle. Ensuite, après avoir redémarré le serveur, exécutez la commande xe CLIpif-scan pour créer un nouvel objet PIF pour la nouvelle carte réseau.

Ajouter un objectif à un réseau

Le but du réseau peut être utilisé pour ajouter des fonctionnalités supplémentaires à un réseau. Par exemple, la possibilité d’utiliser le réseau pour établir des connexions NBD.

Pour ajouter un objectif réseau, utilisez laxe network-param-add commande :

xe network-param-add param-name=purpose param-key=purpose uuid=network-uuid

Pour supprimer un objectif réseau, utilisez laxe network-param-remove commande :

xe network-param-remove param-name=purpose param-key=purpose uuid=network-uuid

Actuellement, les valeurs disponibles pour l’objectif réseau sontnbd etinsecure_nbd . Pour plus d’informations, reportez-vous à la section HASH (0x2c1a078) Guide de suivi des blocs modifiés.

Utiliser le verrouillage du port du commutateur

La fonction de verrouillage du port de commutation HASH (0x2c1a078) vous permet de contrôler le trafic envoyé à partir de machines virtuelles inconnues, non fiables ou potentiellement hostiles en limitant leur capacité à prétendre avoir une adresse MAC ou IP qui ne leur a pas été attribuée. Vous pouvez utiliser les commandes de verrouillage de port pour bloquer par défaut tout le trafic sur un réseau ou définir des adresses IP spécifiques à partir desquelles une machine virtuelle individuelle est autorisée à envoyer du trafic.

Le verrouillage des ports de commutation est une fonctionnalité conçue pour les fournisseurs de services cloud publics dans les environnements préoccupés par les menaces internes. Cette fonctionnalité aide les fournisseurs de services cloud publics qui disposent d’une architecture réseau dans laquelle chaque machine virtuelle dispose d’une adresse IP publique connectée à Internet. Étant donné que les locataires du cloud ne sont pas fiables, vous pouvez utiliser des mesures de sécurité telles que la protection contre l’usurpation pour vous assurer que les locataires ne peuvent pas attaquer d’autres machines virtuelles dans le cloud.

L’utilisation du verrouillage du port de commutation vous permet de simplifier la configuration de votre réseau en permettant à tous vos locataires ou invités d’utiliser le même réseau de couche 2.

L’une des fonctions les plus importantes des commandes de verrouillage de port est qu’elles peuvent restreindre le trafic qu’un invité non approuvé envoie. Cela limite la capacité du client de prétendre avoir une adresse MAC ou IP qu’il ne possède pas réellement. Plus précisément, vous pouvez utiliser ces commandes pour empêcher un invité de :

  • Réclamer une adresse IP ou MAC autre que celles spécifiées par l’administrateur HASH (0x2c1a078) peut utiliser

  • Interception, usurpation ou perturbation du trafic d’autres machines virtuelles

Exigences

  • La fonction de verrouillage du port de commutation HASH (0x2c1a078) est prise en charge sur le pont Linux et les piles réseau vSwitch.

  • Lorsque vous activez le contrôle d’accès basé sur des rôles (RBAC) dans votre environnement, l’utilisateur configurant le verrouillage du port de commutation doit être connecté avec un compte qui possède au moins un rôle d’opérateur de pool ou d’administrateur de pool. Lorsque RBAC n’est pas activé dans votre environnement, l’utilisateur doit être connecté avec le compte racine du maître de pool.

  • Lorsque vous exécutez les commandes de verrouillage du port de commutation, les réseaux peuvent être en ligne ou hors ligne.

  • Dans les invités Windows, l’icône Réseau déconnecté apparaît uniquement lorsque HASH (0x2e68170) sont installés dans l’invité.

Notes

Sans configuration de verrouillage de port de commutation, les VIF sont réglés sur « network_default » et les réseaux sont définis sur « unlocked ».

La configuration du verrouillage du port de commutation n’est pas prise en charge lorsque le contrôleur vSwitch et d’autres contrôleurs tiers sont utilisés dans l’environnement.

Le verrouillage du port du commutateur n’empêche pas les locataires du cloud de :

  • Effectuer une attaque au niveau IP sur un autre locataire ou utilisateur. Cependant, le verrouillage du port de commutation les empêche d’effectuer l’attaque au niveau IP s’ils tentent d’utiliser les moyens suivants pour le faire et que le verrouillage du port de commutation est configuré : a) usurper l’identité d’un autre locataire dans le cloud ou l’utilisateur ou b) lancer une interception du trafic destiné à un autre utilisateur.

  • Épuisement des ressources réseau.

  • Recevoir du trafic destiné à d’autres machines virtuelles via des comportements d’inondation de commutation normaux (pour les adresses MAC de diffusion ou les adresses MAC de destination inconnues).

De même, le verrouillage du port de commutation ne restreint pas l’endroit où une machine virtuelle peut envoyer du trafic.

Notes de mise en œuvre

Vous pouvez implémenter la fonctionnalité de verrouillage du port de commutation à l’aide de la ligne de commande ou de l’API HASH (0x2c1a078). Cependant, dans les grands environnements, où l’automatisation est une préoccupation principale, la méthode d’implémentation la plus typique peut être l’utilisation de l’API.

Exemples

Cette section fournit des exemples de la façon dont le verrouillage du port de commutation peut empêcher certains types d’attaques. Dans ces exemples, VM-C est une machine virtuelle qu’un locataire hostile (Locataire C) loue et utilise pour des attaques. VM-a et VM-B sont des machines virtuelles louées par des locataires non attaquants.

Exemple 1 : Comment le verrouillage du port du commutateur peut empêcher la prévention de l’usurpation d’ARP :

L’usurpation d’ARP est utilisée pour indiquer les tentatives d’un attaquant d’associer son adresse MAC à l’adresse IP d’un autre nœud. L’usurpation d’ARP peut potentiellement entraîner l’envoi du trafic du nœud à l’attaquant à la place. Pour atteindre cet objectif, l’attaquant envoie de faux messages ARP (usurpés) à un réseau local Ethernet.

Scénario :

Virtual Machine A (VM-A) veut envoyer du trafic IP de la machine virtuelle virtuelle B (VM-B) en l’adressant à l’adresse IP de la machine virtuelle. Le propriétaire de Virtual Machine C veut utiliser l’usurpation d’ARP pour prétendre que leur VM, VM-C, est en fait VM-B.

  1. VM-C envoie un flux spéculatif de réponses ARP à VM-A. Les réponses ARP affirment que l’adresse MAC dans la réponse (c_MAC) est associée à l’adresse IP, b_IP

    Résultat : l’administrateur ayant activé le verrouillage du port de commutation, ces paquets sont tous supprimés car l’activation du verrouillage du port de commutation empêche l’usurpation d’identité.

  2. VM-b envoie une réponse ARP à VM-a, affirmant que l’adresse MAC dans la réponse (b_MAC) est associée à l’adresse IP b_IP.

    Résultat : VM-A reçoit la réponse ARP de VM-B.

Exemple 2 : Prévention de l’usurpation de propriété intellectuelle :

L’usurpation d’adresse IP est un processus qui cache l’identité des paquets en créant des paquets IP (Internet Protocol) avec une adresse IP source falsifiée.

Scénario :

Le locataire C tente d’effectuer une attaque par déni de service à l’aide de son hôte, Host-C, sur un système distant pour masquer son identité.

Tentative 1 :

Le locataire C définit l’adresse IP et l’adresse MAC de Host-C sur les adresses IP et MAC de VM-A (a_IP et a_MAC). Le locataire C demande à Host-C d’envoyer du trafic IP à un système distant.

Résultat : les paquets Host-C sont supprimés. En effet, l’administrateur a activé le verrouillage du port de commutation. Les paquets Host-C sont supprimés car l’activation du verrouillage du port de commutation empêche l’usurpation d’identité.

Tentative 2 :

Le locataire C définit l’adresse IP de Host-C sur l’adresse IP de VM-A (a_IP) et conserve son c_MAC d’origine.

Le locataire C demande à Host-C d’envoyer du trafic IP à un système distant.

Résultat : les paquets Host-C sont supprimés. Cela est dû au fait que l’administrateur a activé le verrouillage du port de commutation, ce qui empêche l’usurpation d’identité.

Exemple 3 : Hébergement Web :

Scénario :

Alice est administrateur d’infrastructure.

L’un de ses locataires, Locataire B, héberge plusieurs sites Web à partir de leur VM, VM-B. Chaque site Web a besoin d’une adresse IP distincte hébergée sur la même interface réseau virtuelle (VIF).

Alice reconfigure le VIF de Host-B pour être verrouillé sur un seul MAC mais de nombreuses adresses IP.

Fonctionnement du verrouillage des ports de commutation

La fonction de verrouillage du port de commutation vous permet de contrôler le filtrage des paquets à un ou plusieurs des deux niveaux suivants :

  • Niveau VIF. Les paramètres que vous configurez sur le VIF déterminent la façon dont les paquets sont filtrés. Vous pouvez définir le VIF pour empêcher la machine virtuelle d’envoyer du trafic, restreindre le VIF de sorte qu’il ne puisse envoyer du trafic qu’à l’aide de l’adresse IP qui lui est attribuée, ou autoriser la machine virtuelle à envoyer du trafic à n’importe quelle adresse IP du réseau connecté au VIF.

  • Niveau réseau. Le réseau HASH (0x2c1a078) détermine comment les paquets sont filtrés. Lorsque le mode de verrouillage d’un VIF est défini surnetwork_default, il fait référence au paramètre de verrouillage au niveau du réseau pour déterminer le trafic à autoriser.

Quelle que soit la pile réseau que vous utilisez, la fonctionnalité fonctionne de la même manière. Cependant, comme décrit plus en détail dans les sections qui suivent, le pont Linux ne prend pas entièrement en charge le verrouillage des ports de commutation dans IPv6.

Etats VIF en mode de verrouillage

La fonction de verrouillage du port de commutation HASH (0x2c1a078) fournit un mode de verrouillage qui vous permet de configurer des VIF dans quatre états différents. Ces états s’appliquent uniquement lorsque le VIF est branché sur une machine virtuelle en cours d’exécution.

- Oui. [Cette illustration montre comment trois états de mode de verrouillage VIF différents se comportent lorsque le mode de verrouillage réseau est déverrouillé et que l’état VIF est configuré. Dans la première image, l’état VIF est défini sur la valeur par défaut, de sorte qu’aucun trafic provenant de la machine virtuelle n’est filtré. Le VIF n’envoie ni ne reçoit aucun paquet car le mode de verrouillage est défini surdisabled la deuxième image. Dans la troisième image, l’état VIF est verrouillé. Cela signifie que le VIF ne peut envoyer des paquets que si ces paquets contiennent l’adresse MAC et IP correcte.](/en-us/citrix-hypervisor/media/vif-switch-port-locking-modes.png)

  • Network_default. Lorsque l’état de VIF est défini surnetwork_default, HASH (0x2c1a078) utilise ledefault-locking-modeparamètre du réseau pour déterminer si et comment filtrer les paquets voyageant dans le VIF. Le comportement varie selon que le paramètre de mode de verrouillage par défaut du réseau associé est désactivé ou déverrouillé :

    -default-locking-mode=disabled, HASH (0x2c1a078) applique une règle de filtrage de sorte que le VIF supprime tout le trafic.

    -default-locking-mode= déverrouillé, HASH (0x2c1a078) supprime toutes les règles de filtrage associées au VIF. Par défaut, le paramètre de mode de verrouillage par défaut est défini surunlocked.

    Pour plus d’informations sur ledefault-locking-mode paramètre, reportez-vous à la sectionCommandes réseau .

    Le mode de verrouillage par défaut du réseau n’a aucun effet sur les VIF attachés dont l’état de verrouillage est autre quenetwork_default.

    Note :

    Vous ne pouvez pas modifier ledefault-locking-mode d’un réseau auquel des VIF actifs sont attachés.

  • Verrouillé. HASH (0x2c1a078) applique des règles de filtrage de sorte que seul le trafic envoyé vers/depuis les adresses MAC et IP spécifiées est autorisé à être envoyé via le VIF. Dans ce mode, si aucune adresse IP n’est spécifiée, la machine virtuelle ne peut pas envoyer de trafic via ce VIF, sur ce réseau.

    Pour spécifier les adresses IP à partir desquelles le VIF accepte le trafic, utilisez les adresses IP IPv4 ou IPv6 à l’aide desipv4_allowed paramètresipv6_allowed ou. Toutefois, si le pont Linux est configuré, ne tapez pas d’adresses IPv6.

    HASH (0x2c1a078) vous permet de taper des adresses IPv6 lorsque le pont Linux est actif. Toutefois, HASH (0x2c1a078) ne peut pas filtrer en fonction des adresses IPv6 tapées. La raison en est que le pont Linux n’a pas de modules pour filtrer les paquets NDP (Neighbor Discovery Protocol). Par conséquent, une protection complète ne peut pas être implémentée et les invités pourraient emprunter l’identité d’un autre invité en forgeant des paquets NDP. Par conséquent, si vous spécifiez une adresse IPv6, HASH (0x2c1a078) permet à tout le trafic IPv6 de passer par le VIF. Si vous ne spécifiez aucune adresse IPv6, HASH (0x2c1a078) ne laisse aucun trafic IPv6 passer au VIF.

  • Débloqué. Tout le trafic réseau peut passer par le VIF. Autrement dit, aucun filtre n’est appliqué à tout trafic allant à destination ou en provenance du VIF.

  • Désactivé. Aucun trafic n’est autorisé à traverser le VIF. (Autrement dit, HASH (0x2c1a078) applique une règle de filtrage de sorte que le VIF supprime tout le trafic.)

Configurer le verrouillage du port du commutateur

Cette section fournit trois procédures différentes :

  • Restreindre les VIF à utiliser une adresse IP spécifique

  • Ajouter une adresse IP à une liste restreinte existante. Par exemple, pour ajouter une adresse IP à un VIF lorsque la machine virtuelle est en cours d’exécution et connectée au réseau (par exemple, si vous mettez un réseau hors connexion temporairement).

  • Supprimer une adresse IP d’une liste restreinte existante

Si le mode de verrouillage d’un VIF est défini surlocked, il ne peut utiliser que les adresses spécifiées dans lesipv4-allowedparamètresipv6-allowedou.

Étant donné que, dans certains cas relativement rares, les VIF peuvent avoir plusieurs adresses IP, il est possible de spécifier plusieurs adresses IP pour un VIF.

Vous pouvez effectuer ces procédures avant ou après la connexion du VIF (ou le démarrage de la machine virtuelle).

Modifiez le mode de verrouillage par défaut en verrouillé, s’il n’utilise pas déjà ce mode, en exécutant la commande suivante :

xe vif-param-set uuid=vif-uuid locking-mode=locked

Levif-uuid représente l’UUID du VIF que vous souhaitez autoriser à envoyer du trafic. Pour obtenir l’UUID, exécutez lavif-list commande xe sur l’hôte. vm-uuid Indique la machine virtuelle pour laquelle les informations s’affichent. L’ID de périphérique indique le numéro de périphérique du VIF.

Exécutez lavif-param-set commande pour spécifier les adresses IP à partir desquelles la machine virtuelle peut envoyer du trafic. Faites une ou plusieurs des opérations suivantes :

  • Spécifiez une ou plusieurs adresses IP IPv4 destinations. Par exemple :

     xe vif-param-set uuid=vif-uuid ipv4-allowed=comma separated list of ipv4-addresses
    
  • Spécifiez une ou plusieurs adresses IP IPv6 destinations. Par exemple :

     xe vif-param-set uuid=vif-uuid ipv6-allowed=comma separated list of ipv6-addresses
    

Vous pouvez spécifier plusieurs adresses IP en les séparant par une virgule, comme indiqué dans l’exemple précédent.

Après avoir effectué la procédure pour restreindre un VIF à l’utilisation d’une adresse IP spécifique, vous pouvez ajouter une ou plusieurs adresses IP que VIF peut utiliser.

Exécutez lavif-param-add commande pour ajouter les adresses IP à la liste existante. Faites une ou plusieurs des opérations suivantes :

  • Spécifiez l’adresse IP IPv4. Par exemple :

     xe vif-param-add uuid=vif-uuid ipv4-allowed=comma separated list of ipv4-addresses
    
  • Spécifiez l’adresse IP IPv6. Par exemple :

     xe vif-param-add uuid=vif-uuid ipv6-allowed=comma separated list of ipv6-addresses
    

Si vous limitez un VIF à utiliser deux adresses IP ou plus, vous pouvez supprimer une de ces adresses IP de la liste.

Exécutez lavif-param-remove commande pour supprimer les adresses IP de la liste existante. Faites une ou plusieurs des opérations suivantes :

  • Spécifiez l’adresse IP IPv4 à supprimer. Par exemple :

     xe vif-param-remove uuid=vif-uuid ipv4-allowed=comma separated list of ipv4-addresses
    
  • Spécifiez l’adresse IP IPv6 à supprimer. Par exemple :

     xe vif-param-remove uuid=vif-uuid ipv6-allowed=comma separated list of ipv6-addresses
    

Empêcher une machine virtuelle d’envoyer ou de recevoir du trafic d’un réseau spécifique

La procédure suivante empêche une machine virtuelle de communiquer via un VIF spécifique. Comme un VIF se connecte à un réseau HASH spécifique (0x2c1a078), vous pouvez utiliser cette procédure pour empêcher une machine virtuelle d’envoyer ou de recevoir du trafic provenant d’un réseau spécifique. Cela fournit un niveau de contrôle plus granulaire que la désactivation d’un réseau entier.

Si vous utilisez la commande CLI, vous n’avez pas besoin de débrancher le VIF pour définir le mode de verrouillage du VIF. La commande modifie les règles de filtrage pendant l’exécution du VIF. Dans ce cas, la connexion réseau semble toujours être présente, cependant, le VIF supprime tous les paquets que la machine virtuelle tente d’envoyer.

Conseil :

Pour rechercher l’UUID d’un VIF, exécutez lavif-list commande xe sur l’hôte. L’ID de périphérique indique le numéro de périphérique du VIF.

Pour empêcher un VIF de recevoir du trafic, désactivez le VIF connecté au réseau à partir duquel vous souhaitez empêcher la machine virtuelle de recevoir du trafic :

xe vif-param-set uuid=vif-uuid locking-mode=disabled

Vous pouvez également désactiver le VIF dans HASH (0x2e6c8e8) en sélectionnant l’interface réseau virtuelle dans l’onglet Mise en réseau de la machine virtuelle et en cliquant sur Désactiver.

Supprimer la restriction d’une VIF à une adresse IP

Pour revenir à l’état du mode de verrouillage par défaut (d’origine), procédez comme suit. Par défaut, lorsque vous créez un VIF, HASH (0x2c1a078) le configure de sorte qu’il ne soit pas limité à l’utilisation d’une adresse IP spécifique.

Pour rétablir un VIF à un état déverrouillé, modifiez le mode de verrouillage par défaut VIF sur déverrouillé. S’il n’utilise pas déjà ce mode, exécutez la commande suivante :

xe vif-param-set uuid=vif_uuid locking-mode=unlocked

Simplifier la configuration du mode de verrouillage VIF dans le Cloud

Plutôt que d’exécuter les commandes du mode de verrouillage VIF pour chaque VIF, vous pouvez vous assurer que tous les VIF sont désactivés par défaut. Pour ce faire, vous devez modifier le filtrage des paquets au niveau du réseau. En changeant le filtrage des paquets, le réseau HASH (0x2c1a078) détermine comment les paquets sont filtrés, comme décrit dans la section précédente Comment fonctionne le verrouillage du port de commutation.

Plus précisément, lesdefault-locking-mode paramètres d’un réseau déterminent le comportement des nouveaux VIF avec des paramètres par défaut. Chaque fois qu’un VIFlocking-mode est défini surdefault , le VIF fait référence au mode de verrouillage réseau (default-locking-mode ) pour déterminer si et comment filtrer les paquets circulant dans le VIF :

  • Débloqué. Lorsque ledefault-locking-mode paramètre réseau est défini surunlocked , HASH (0x2c1a078) permet à la machine virtuelle d’envoyer du trafic à n’importe quelle adresse IP du réseau auquel VIF se connecte.

  • Désactivé. Lorsque ledefault-locking-mode paramètre est défini surdisabled , HASH (0x2c1a078) applique une règle de filtrage de sorte que le VIF supprime tout le trafic.

Par défaut, ledefault-locking-mode pour tous les réseaux créés dans HASH (0x2e6c8e8) et à l’aide de l’interface de ligne de commande sont définis surunlocked .

En définissant le mode de verrouillage de VIF sur sa valeur par défaut (network_default), vous pouvez créer une configuration par défaut de base (au niveau du réseau) pour tous les VIF nouvellement créés qui se connectent à un réseau spécifique.

Cette illustration montre comment, lorsqu’un VIFlocking-mode est défini sur son paramètre par défaut (network_default ), le VIF utilise le réseaudefault-locking-mode pour déterminer son comportement.

 Cette illustration montre comment un VIF, lorsqu'il est configuré à son paramètre par défaut (locking-mode=network_default), vérifie le paramètre associé au mode de verrouillage par défaut. Dans cette illustration, le réseau est défini sur default-locking-mode = disabled afin qu'aucun trafic ne puisse passer par le VIF.

Par exemple, par défaut, les VIF sont créés avec leurlocking-mode valeurnetwork_default . Si vous définissez un réseaudefault-locking-mode=disabled, tous les nouveaux VIF pour lesquels vous n’avez pas configuré le mode de verrouillage sont désactivés. Les VIF restent désactivés jusqu’à ce que vous (a) modifiez lelocking-mode paramètre individuel du VIF ou (b) définissiez explicitement les VIF sur `unlocked.locking-mode Ceci est utile lorsque vous faites suffisamment confiance à une machine virtuelle spécifique pour ne pas filtrer son trafic du tout.

Pour modifier le paramètre de mode de verrouillage par défaut d’un réseau :

Après avoir créé le réseau, modifiez le mode de verrouillage par défaut en exécutant la commande suivante :

xe network-param-set uuid=network-uuid default-locking-mode=[unlocked|disabled]

Note :

Pour obtenir l’UUID d’un réseau, exécutez lanetwork-list commande xe. Cette commande affiche les UUID de tous les réseaux de l’hôte sur lequel vous avez exécuté la commande.

Pour vérifier le paramètre de mode de verrouillage par défaut d’un réseau :

Exécutez l’une des commandes suivantes :

xe network-param-get uuid=network-uuid param-name=default-locking-mode

OU

xe network-list uuid=network-uuid params=default-locking-mode

Utiliser les paramètres réseau pour le filtrage du trafic VIF

La procédure suivante demande à un VIF sur une machine virtuelle d’utiliser lesdefault-locking-mode paramètres réseau HASH (0x2c1a078) sur le réseau lui-même pour déterminer comment filtrer le trafic.

  1. Modifiez l’état de verrouillage VIF ànetwork_default, s’il n’utilise pas déjà ce mode, en exécutant la commande suivante :

    xe vif-param-set uuid=vif_uuid locking-mode=network_default
    
  2. Modifiez le mode de verrouillage par défaut enunlocked, s’il n’utilise pas déjà ce mode, en exécutant la commande suivante :

    xe network-param-set uuid=network-uuid default-locking-mode=unlocked