我有一个运行免费版 XenServer 5.6 FP1 的 XenServer 主机池。我想知道,如果我将网络后端更改为使用 Open vSwitch,我是否可以在单个网络 VIF 上指定 ACL,而无需使用需要高级许可证或更高版本的 DVS 设备(分布式虚拟交换机)。
基本上,我正在寻找一种方法来隔离我网络上的虚拟机,这样,如果用户在命令行上具有 root 访问权限,他们就无法访问他们不应该访问的其他服务器(不使用 VLAN)。
答案1
Open vSwitch 支持 sFlow 流量监控,您可以使用它来检测可疑活动并管理XenServer网络和系统性能。ovs-* 命令用于配置 vSwitch,看起来您可以使用 ovs-ofctl 来添加 ACL。
答案2
Peter 是对的,您可以使用“ovs-ofctl”来添加 ACL。您遇到的问题是,每次重新启动或迁移 VM 时,VIF 都会连接到新的交换机端口并丢失其配置。您可以尝试自定义 /etc/xensource/scripts/vif——此脚本负责将 VIF 添加到 vswitch 端口……这将是重新添加 ACL 的理想端口。