DVSアプライアンスを使用せずにXenServer5.6FP1でvSwitchを開いてACLを作成できますか?
XenServer 5.6FP1の無料バージョンを実行しているXenServerホストのプールがあります。 Advanced License以上を必要とするDVSアプライアンス(分散仮想スイッチ)を使用せずに、個々のネットワークVIFでACLを指定できる場合、OpenvSwitchを使用するようにネットワークバックエンドを変更するかどうか疑問に思いました。
基本的に、ネットワーク上のVMを分離して、ユーザーがコマンドラインでルートアクセス権を持っている場合、他のサーバーにアクセスできないようにする方法を探しています(VLANを使用しないと)。
Open vSwitchは、疑わしいアクティビティを検出して管理するために使用できるsFlowトラフィックモニタリングをサポートしています XenServerネットワークおよびシステム パフォーマンス。 ovs- *コマンドはvSwitchを構成するために使用され、ovs-ofctlを使用してACLを追加できるようです。
Peterは正しいです。「ovs-ofctl」を使用してACLを追加できます。問題は、VMを再起動または移行するたびに、VIFが新しいスイッチポートに接続され、構成が失われることです。/etc/xensource/scripts/vifをカスタマイズしてみることができます-このスクリプトは、vswitchポートにVIFを追加する役割を果たします...これは、ACLを再追加するための理想的なポートです。