У меня есть пул хостов XenServer с бесплатной версией XenServer 5.6 FP1. Мне было интересно, могу ли я изменить сетевой бэкэнд для использования Open vSwitch, если я могу указать ACL для отдельных сетевых VIF без необходимости использовать устройство DVS (распределенный виртуальный коммутатор), для которого требуется расширенная лицензия или выше.
В основном я ищу способ изолировать виртуальные машины в моей сети, чтобы, если у пользователя был root-доступ в командной строке, он не мог получить доступ к другим серверам, которые они не должны иметь (без использования VLAN).
Питер прав, вы можете использовать "ovs-ofctl" для добавления ACL. Проблема, с которой вы столкнетесь, заключается в том, что каждый раз, когда вы перезапускаете или переносите виртуальную машину, VIF-файлы будут подключаться к новым портам коммутатора и потеряют свою конфигурацию. Вы можете попробовать настроить / etc / xensource / scripts / vif - этот сценарий отвечает за добавление VIF к порту vswitch ... это был бы идеальный порт для повторного добавления ACL.
Open vSwitch поддерживает мониторинг трафика sFlow, который можно использовать для обнаружения подозрительной активности и управления Сеть и система XenServer производительность. Команды ovs- * используются для настройки vSwitch, похоже, вы можете использовать ovs-ofctl для добавления ACL.