Руководство по работе c программно-определяемыми сетями

1. Программно-определяемые сети

Процедуры, описанные в этой инструкции актуальны для версии zVirt 4.2 и выше

1.1. Термины и определения

Таблица 1. Термины и определения
Термин Описание

Управляемая сеть/Программно-определяемая сеть

Решение zVirt, которое обеспечивает сетевую связь между виртуальными машинами, абстрагируясь от физической топологии сети предприятия. Программно-определяемая сеть включает в себя технологии сегментации, управления адресацией и маршрутизации.

Физическая сеть

Существующая сеть предприятия, реализованная с помощью программно-аппаратных решений. Осуществляет связь хостов виртуализации между собой и с физической сетью предприятия.

Логическая сеть

Изолированный широковещательный домен. Виртуальные машины (ВМ), подключенные к одной логической сети, находятся в одном широковещательном домене, то есть, широковещательный запрос, отправленный виртуальной машиной через подключение к логической сети, будет доставлен всем ВМ, которые подключены к этой же логической сети. Прямой аналог — VLAN.

Логическая подсеть

Набор сетевых опций и адресов, используемый в задачах управления IP-адресами и контроля подключений. Содержит IP-диапазон подсети, адрес шлюза, адрес DNS-сервера. Прикрепляется к объектам логической или внешней сети. Прямой аналог — DHCP-конфигурация.

Логический порт

Точка подключения виртуальной сетевой карты (vNIC) к подсистеме управляемых сетей. Является точкой управления IP-адресацией. Присвоение определенного адреса логическому порту приводит к генерации DHCP-запроса на выдачу данного адреса для виртуальной машины.

Логический маршрутизатор

Средство обеспечения межсетевой связи. Две логических сети, подключенные к одному маршрутизатору, взаимно достижимы. Маршрутизатор способен осуществлять подключение к физической сети предприятия и выполнять простейшие преобразования трафика. Прямой аналог — традиционный маршрутизатор.

Хост (в контексте SDN)

Хост виртуализации, используемый логическим маршрутизатором в качестве точки подключения к физической сети предприятия. Логический маршрутизатор будет использовать соответствующий физический интерфейс хоста виртуализации для отправки и приема пакетов от собственного адреса.

Внешняя сеть

Объект, описывающий физическую подсеть предприятия. Создается на базе классической сети zVirt и используется логическим маршрутизатором для осуществления L3-подключения к сети предприятия. Имеет подсеть, которая используется для контроля используемой IP-адресации.

Сеть zVirt

Средство обеспечения подключения виртуальной машины к логической сети. Играет роль профиля vNIC и объекта сети, прикрепленного к кластеру. Создается и поддерживается автоматически.

Полезная нагрузка

Группа виртуальных машин, использующих сетевые коммуникации между собой для решения поставленных задач.

Open Virtual Network (OVN)

Расширение Open vSwitch (OVS), обеспечивающее встроенную поддержку виртуальных сетей (дополняющее существующие возможности OVS, такие как виртуальные наложения L2 и L3 и группы безопасности). Вы также можете подключить сеть OVN к собственной сети oVirt, называемой ovirt-provider-ovn. Работает на уровне L3. OVN работает с двумя базами данных. База данных Northbound содержит логическую структуру сетей: здесь определяются коммутаторы, маршрутизаторы, порты и т. д. База данных Southbound связана с физической структурой вашей сети. Эта база данных содержит информацию о том, какие порты на каких хостах реализованы.

Open vSwitch (OVS)

Предоставляет собой виртуальный коммутатор на одном хосте, OVN расширяет эту абстракцию, чтобы охватить несколько хостов. Работает на уровне L2.

Ovirt-provider-ovn

внешний сетевой провайдер.

Правило безопасности

Совокупность критериев, описывающих сетевой трафик.

Группа безопасности

Контейнер для правил безопасности. Используется для присвоения логическим портам наборов правил безопасности.

Оверлейная сеть (overlay network)

Логическая сеть создаваемая поверх другой сети.

1.2. Особенности и ограничения

Этот раздел описывает особенности и ограничения подсистемы управляемых сетей zVirt в текущей реализации.

Указанные особенности и ограничения будут устранены в дальнейших релизах продукта.
  • Нельзя редактировать вручную или удалять объект сети zVirt, соответствующего существующей логической сети

  • Не изменяется предварительная конфигурация подсистемы ovirt-provider-ovn ("Только для чтения" и т.п.). Не допускается любая конфигурация провайдера.

  • Средствами оснастки управления IP-адресацией можно присвоить не более одного IPv4-адреса на порт.

  • Ограничено редактирование параметров логической подсети. По умолчанию недоступно редактирование пула IP-адресов и маршрута.

  • Максимальное значение MTU — 8942.

  • Доступность хостов виртуализации со стороны виртуальных машин внутри программно-определяемой сети не гарантируется.

  • Применение трансляций типа SNAT ограничивает доступность логических сетей для внешних хостов.

На данном этапе протестирована и гарантирована работоспособность управляемых сетей в пределах следующих ограничений:

  • Количество логических сетей: 500, без поддержки групп безопасности;

  • Количество логических подсетей:500;

  • Количество внешних сетей: 500;

  • Количество маршрутизаторов: 500, каждый из которых имеет 1 подключенную внутреннюю сеть и подключен к 1 внешней сети;

  • Количество портов виртуальных машин подключеных к логическим сетям: 500.

1.3. Планирование инфраструктуры SDN

1.3.1. Предварительная подготовка инфраструктуры

Решение управляемых сетей устанавливается на Менеджере виртуализации независимо от выбранного способа инсталляции. Применение SDN-сети предполагает наличие связности между хостами виртуализации для обеспечения передачи трафика логических объектов. В текущей реализации overlay-подключение осуществляется через сеть управления ovirtmgmt. При создании сети ovirtmgmt необходимо принять во внимание следующие особенности:

  • Сеть управления ovirtmgmt должна создаваться с учетом необходимости переносить служебный SDN-трафик как между ВМ внутри SDN("запад-восток").

  • Сеть должна иметь соответствующий запас ресурсов по производительности (например, применение агрегированных каналов и т.п.) и надежности.

  • Сеть управления ovirtmgmt будет использоваться для передачи overlay-трафика, что означает увеличение размера передаваемых кадров на 58 байт.

    В настройках сети ovirtmgmt следует увеличить размер MTU на 58 Байт от первоначально заданного значения, либо уменьшить значения MTU для логических сетей.

  • На данный момент не гарантируется полноценная работа решения управляемых сетей при передаче роли Сеть управления другой сети, отличной от ovirtmgmt.

Возможность применять сети SDN обеспечивается подключением к кластеру провайдера внешних сетей ovirt-provider-ovn. Виртуальная машина, прикрепленная к кластеру с подключенным провайдером ovirt-provider-ovn может подключаться к логическим и внешним сетям SDN.

Предварительные требования:
  • Подключение SDN-инфраструктуры к физической сети предприятия может выполняться только с применением хостов кластера с типом коммутации Open vSwitch и подключенным провайдером ovirt-provider-ovn.

Центр данных для SDN создаётся стандартным способом.
Добавление хостов в кластер с поддержкой управляемых сетей осуществляется по стандартному алгоритму.

При планировании инфраструктуры с SDN учитывайте следующее:

  • При развёртывании HostedEngine нельзя добавить его в кластер с OVS

  • Нельзя мигрировать HostedEngine в кластер с OVS

1.3.2. Базовая конфигурация решения управляемых сетей

Базовая установка решения управляемых сетей выполняется стандартным способом при любом выбранном сценарии установки ПО Zvirt (Standalone, Hosted Engine) и не требует дополнительной конфигурации. Возможность создания объектов SDN доступна сразу же после начала работы Менеджера виртуализации. Возможность применения подсистемы управляемых сетей для связи виртуальных машин зависит от используемой конфигурации вычислительного кластера. Основным фактором применимости является подключение провайдера внешних сетей ovirt-provider-ovn.

Существуют следующие варианты конфигураций кластера:

  • Сети VLAN: возможность ВМ, запущенной на хосте, принадлежащей к кластеру данного типа, использовать классические VLAN-сети для подключения сетевого интерфейса.

  • Сети SDN: возможность ВМ, запущенной на хосте, принадлежащей к кластеру данного типа, использовать логические сети решения управляемых сетех для подключения сетевого интерфейса.

  • L2-подключение SDN: возможность ВМ, запущенной на хосте, принадлежащей к кластеру данного типа, подключаться к существующему VLAN-сегменту физической сети предприятия через механизмы SDN с сохранением функциональных преимуществ SDN. (Подробнее см. соответствующеий раздел)

  • L3-подключение SDN: возможность логического маршрутизатора SDN использовать хост виртуализации из данного кластера для осуществления маршрутизируемого доступа SDN к физической сети предприятия.

Зависимость типа коммутации, используемого провайдера и вариантов настройки кластера представлена в таблице.

Тип коммутации Подключение ovirt-provider-ovn Сети VLAN Сети SDN L-2 Подключение SDN L-3 Подключение SDN

Мост

Да

Да

Да

Нет

Нет

Open vSwitch

Да

Нет

Да

Да

Да

Мост

Нет

Да

Нет

Нет

Нет

Open vSwitch

Нет

Нет

Нет

Нет

Нет

Также при проектировании конфигурации программно-определяемой сети необходимо отталкиваться от задач, поставленных перед виртуальными машинами. Для этого:

  1. Определите целевые полезные нагрузки — группы взаимосвязанных виртуальных машин, которым требуется обеспечение производительного прямого сетевого обмена.

  2. Распределите виртуальные машины каждой группы на изолированные сегменты и определите адресацию для них.

  3. Определите тип доступа виртуальной машины этой группы к хостам физической сети.

  4. Определите, требуется ли прямой доступ к виртуальной машине этой группы из физической сети.

Примитивы управляемых сетей можно настроить в разделе Сеть  Управляемые сети.

prim sdn 4 2

Стандартные сетевые объекты zVirt по прежнему конфигурируются через штатные средства zVirt.

1.4. Логическая сегментация

1.4.1. Реализация сегментации

Под сегментацией сети подразумевается разделение на изолированные широковещательные домены, хосты которых находятся в одной подсети и могут взаимодействовать друг с другом без маршрутизатора.

В традиционном подходе сеть делится на VLAN. В программно-определяемой сети понятие VLAN отсутствует. Вместо него используется логические сети или логические коммутаторы. Благодаря наличию оверлейной сети сегментация реализуется без trunk-соединений с коммутаторами инфраструктуры предприятия. Достаточно иметь сетевую связанность между хостами кластера.

Логические сети являются прямыми аналогами VLAN. При этом не требуют специального тэгирования фреймов для передачи между хостами виртуализации. Все операции, связанные с сегментацией и поддержанием изоляции реализуются внутренними механизмами zVirt. Интерфейсы виртуальных машин, подключенные к одной логической сети, должны иметь уникальные MAC-адреса и находиться в одной IP-сети. Нельзя присвоить более одного IP-адреса любого типа интерфейсу, подключенному к логической сети.

Создание логической сети
Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Сети.

  3. Нажать Создать сеть и задать параметры согласно таблице ниже:

    Параметр Назначение Валидация

    Имя

    Отображаемое имя сети

    Строка. Может содержать:

    • от 3 до 30 символов

    • цифры

    • латинские буквы

    Не может содержать:

    • пробелы

    • спецсимволы

    • дефисы (-)

    • нижнее подчеркивание (_)

    Регистронезависимая

    Центр данных

    Центр данных zVirt, в котором будет создана соответствующая сеть zVirt, ассоциированная с создаваемой логической сетью

    Центр данных должен существовать и содержать минимум один кластер формата Open vSwitch

    MTU

    Максимальный размер передаваемого кадра данных

    Целое положительное число от 126 до 8942

    Поддержка групп безопасности

    Включение/отключение поддержки фильтрации трафика для портов в этой сети

    Логическое значение

    net create 4 2
  4. Нажмите Сохранить.

После создания логическая сеть появится в списке на вкладке Сети.

Также логическую сеть можно создать на вкладке Карта сетей с помощью кнопки Создать.

Редактирование логической сети
Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Сети.

  3. В списке выбрать необходимую логическую сеть.

  4. Нажать Редактировать и изменить параметры:

    Параметр Назначение Валидация

    Имя

    Отображаемое имя сети

    Строка. Может содержать:

    • от 3 до 30 символов

    • цифры

    • латинские буквы

    Не может содержать: * пробелы * спецсимволы * дефисы (-) * нижнее подчеркивание (_)

    Регистронезависимая

    MTU

    Максимальный размер передаваемого кадра данных

    Целое положительное число от 126 до 8942

    Поддержка групп безопасности

    Включение/отключение поддержки фильтрации трафика для портов в этой сети

    Логическое значение

  5. Нажмите Сохранить.

Удаление логической сети

Удаление логической сети может быть выполнено, если сеть не имеет:

  • прикрепленной логической подсети;

  • подключенных портов виртуальных машин;

  • подключенного в качестве шлюза логического маршрутизатора.

Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Сети.

  3. В списке выбрать необходимую логическую сеть.

  4. Нажать Удалить.

Логическая сеть будет удалена из подсистемы управляемых сетей и из списка сетей zVirt.

Просмотр информации о логической сети
Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Сети.

  3. В списке выбрать необходимую логическую сеть.

Таблица 2. Описание полей в просмотре логической сети
Поле Описание

Общая информация

ID объекта

Уникальный сгенерированный UUID объекта логической сети

Имя

Текстовое имя сети, уникальное в пределах ЦД

MTU

Максимальный размера передаваемого кадра данных в этой сети

Поддержка групп безопасности

Применение правил распределенного межсетевого экрана к портам виртуальных машин в этой сети

Подсеть (Если подсеть прикреплена)

Имя

Имя объекта подсети, прикрепленного к этой логической сети

Адрес шлюза

IP-адрес шлюза по умолчанию для этой сети

CIDR

Адресное пространство подсети

DNS-сервер

Адрес DNS-сервера, используемый в этой подсети

net details 4 2

На вкладке Карта сетей дополнительно реализованы табличные интерфейсы для просмотра информации о логической сети.

Применение логической сети

Логическую сеть можно применить после ее успешного создания. Применение производится по стандартному алгоритму подключения виртуальной машины к сети.

При создании виртуальной машины убедитесь, что выполнены условия:

  • Виртуальная машина создается в центре данных, который содержит кластеры с поддержкой Open vSwitch.

  • Виртуальная машина создается в рамках кластера с поддержкой Open vSwitch.

  • Профиль виртуальной сетевой карты, осуществляющий подключение к созданной логической сети, будет доступен при создании или редактировании подключения виртуальной машины в разделе конфигурации сетевых интерфейсов.

Особенности и ограничения при создании объекта логической сети:

  • Имя — без привязки к регистру. "Network1" и "network1" являются одинаковыми именами.

  • MTU должен учитывать поддержку дополнительных заголовков GENEVE для передачи кадра между хостами виртуализации, размер которых составляет 58 байт. При MTU физической сети 1500 MTU логических сетей должен быть установлен не выше, чем 1442.

В результате вызова сети будет создан объект сети zVirt в указанном центре данных. Сеть будет прикреплена ко всем кластерам центра данных. Аналогично будет создан соответствующий объект vNIC с указанным названием.

В случае изменения объекта логической сети соответствующий ему объект сети zVirt будет изменен автоматически.

Для подключения выполните следующий порядок действий:
  1. Запустить процесс создания ВМ и настроить необходимые параметры ВМ в соответствии со стандартной процедурой.

  2. На вкладке Общее:

    • Выбрать кластер с поддержкой управляемых сетей (информацию о подготовке инфраструктуры см. в разделе Предварительная подготовка инфраструктуры)

    • В разделе Сетевые интерфейсы выбрать созданную ранее логическую сеть (в случае наличия нескольких профилей - выберите требуемый).

    net vm 4 2
  3. Нажать ОК.

1.5. Управление IP-адресацией

В рамках реализации управления IP-адресацией для обьектов SDN, необходимо чтобы данные обьекты(маршрутизаторы,ВМ) были подключены к логическим подсетям.

Логические подсети используются для:

  • формирования сетевой конфигурации подключенных к логической сети виртуальных машин посредством DHCP-протокола;

  • конфигурации маршрутизатора в качестве шлюза по умолчанию в этой сети;

  • контроля корректности адреса интерфейса маршрутизатора при подключении к внешней сети.

1.5.1. Создание логической подсети

Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Подсети.

  3. Нажать Создать подсеть и задать параметры согласно таблице ниже:

    Параметр Назначение Валидация

    Имя

    Отображаемое имя подсети

    Строка. Может содержать:

    • от 3 до 30 символов

    • цифры

    • латинские буквы

    Не может содержать:

    • пробелы

    • спецсимволы

    • дефисы (-)

    • нижнее подчеркивание (_)

    Регистронезависимая

    Сеть

    Выбор типа сети для прикрепления: Логическая сеть или Внешняя сеть

    Выберите сеть

    Выбор из списка сетей соответствующего типа, фильтрация по отсутствию прикрепленной подсети

    DNS-сервер

    IP-адрес DNS-сервера, выдаваемых клиентам сети

    Корректный IP-адрес

    CIDR

    Выбор диапазона IP-адресов сети: Битовая маска или Сетевая маска

    Адрес сети должен быть корректным

    Адрес шлюза

    IP-адрес шлюза этой сети. Используется маршрутизатором при подключении в качестве шлюза сети

    Корректный IP-адрес, принадлежит указанному CIDR

    create subnet 4 2
  4. Нажать Сохранить.

После создания логическая подсеть появится в списке на вкладке Подсети.

Можно также создать логическую подсеть на вкладке Карта сетей с помощью кнопки Создать.

Редактирование логической подсети
Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Подсети.

  3. В списке выбрать необходимую логическую подсеть.

  4. Нажать Редактировать и изменить требуемые параметры:

    Параметр Назначение Валидация

    Имя

    Отображаемое имя подсети

    Строка. Может содержать:

    • от 3 до 30 символов

    • цифры

    • латинские буквы

    Не может содержать: * пробелы * спецсимволы * дефисы (-) * нижнее подчеркивание (_)

    Регистронезависимая

    DNS-сервер

    IP-адрес DNS-сервера, выдаваемых клиентам сети

    Корректный IP-адрес

    Адрес шлюза

    IP-адрес шлюза этой сети. Используется маршрутизатором при подключении в качестве шлюза сети

    Корректный IP-адрес, принадлежит указанному CIDR

  5. Нажмите Сохранить.

Удаление логической подсети

Логическую подсеть можно удалить, если:

  • в логической сети, к которой прикреплена подсеть, отсутствуют порты;

  • логическая сеть, к которой прикреплена подсеть, не имеет шлюза (нет подключенного маршрутизатора);

  • внешняя сеть (к которой подключена подсеть) не подключена к маршрутизатору.

Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Подсети.

  3. В списке выбрать необходимую логическую подсеть.

  4. Нажать Удалить.

Логическая подсеть удалена.

Просмотр информации о логической подсети
В зависимости от типа прикрепления (к логической или к внешней сети) возможны различные варианты отображения информации.
Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Подсети.

  3. В списке выбрать необходимую логическую подсеть.

Справа появится информация о подсети.

Таблица 3. Описание полей в просмотре логической подсети
Параметр Описание

Общая информация

ID объекта

Уникальный сгенерированный UUID объекта логической подсети

Имя

Текстовое имя объекта подсети

Адрес шлюза

IP-адрес шлюза этой подсети

CIDR

Адрес подсети

Логическая сеть (Если логическая сеть прикреплена)

Имя

Текстовое имя сети, уникальное в пределах ЦД

MTU

Максимальный размера передаваемого кадра данных в этой сети

Поддержка групп безопасности

Применение правил распределенного межсетевого экрана к портам виртуальных машин в этой сети

Внешняя сеть (Если внешняя сеть прикреплен)

ID объекта

Уникальный сгенерированный UUID объекта внешней сети

Имя

Текстовое имя внешней сети

MTU

Максимальный размера передаваемого кадра данных в этой внешней сети

Поддержка групп безопасности

Применение правил распределенного межсетевого экрана к трафику в данной внешней сети

subnet details 4 2

Виртуальная машина, подключенная к логической сети, к которой прикреплена логическая подсеть, получит первый свободный адрес из IP-диапазона этой подсети. Адрес сети и широковещательный адрес являются зарезервированными.

1.5.2. Настройка механизмов IP-адресации

В виду характера функционирования программно-определяемой сети рекомендуется использовать механизмы централизованного управления адресацией из интерфейса управляемых сетей zVirt.

Доступны несколько способов управления адресацией виртуальных машин:

  • статическое присвоение адресов;

  • динамическое присвоение адресов;

  • пользовательская адресация.

Статическое присвоение адреса для виртуальных машин позволяет закрепить за виртуальной машиной IP-адрес из диапазона IP-адресов указаных в логической подсети. При выборе такого типа адресации для порта отображается диапазон доступных адресов и исключений.

Для настройки статического присвоения адресов необходимо:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Порты, выбрать необходимый порт виртуальной машины.

  3. В открывшемся окне Редактирование порта выбрать тип адресации Статический адрес.

  4. Указать адрес для ВМ из списка доступных адресов.

    port ip 1

Динамическое присвоение адресов выполняется с помощью DHCP-ответов на DHCP-запросы виртуальной машины, имитируется работа активного DHCP-сервера. Для обеспечения конфигурации имитируемого DHCP-сервера используются объекты логических подсетей. Логическая подсеть прикрепляется к объекту сети (внешней или логической) и выполняет роль источника информации о выдаваемых адресах (для логической сети) и как средство контроля корректности присвоенного адреса (для логических и внешних сетей).

Особенности конфигурации DHCP:

  • Адрес присваивается ВМ на все время её подключения к данной логической сети, независимо от состояния интерфейса или ВМ(выключение ВМ не снимает резервацию адреса).

  • Время жизни DHCP-резервации (формальное) составляет 86400 секунд.

  • Адрес DHCP-сервера совпадает с адресом шлюза данной сети.

  • В случае исчерпания пула доступных адресов новые ВМ не будут получать DHCP-ответов. По мере освобождения адресов (в следствие удаления ВМ или переключения их в другие логические сети) освободившиеся адреса будут немедленно переприсвоены ожидающим ВМ.

Для настройки динамического присвоения адресов необходимо:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Порты, выбрать необходимый порт виртуальной машины.

  3. В открывшемся окне Редактирование порта выбрать тип адресации Динамический адрес.

  4. IP-адрес будет выдан автоматически из доступного диапазона адресов.

    port ip 2

Механизм пользовательской адресации позволяет использовать определенные средствами виртуальной машины MAC и IP-адреса в сетевом обмене SDN. При присвоении пользовательского IP-адреса ВМ будет создан интерфейс типа unknown,который используется в том случае, когда требуется сконфигурировать hotplug-интерфейс, для которого не существует каталога конфигурации. Логические маршрутизаторы поддерживают перессылку трафика с unknown-интерфейсов,что позволяет поддерживать сетевую связность и работу механизмов NAT.

  • При включенной пользовательской адресации перессылка ARP-запросов происходит во все порты в рамках логического маршрутизатора. Данные запросы не фильтруются средствами ACL.

  • При необходимости изменения MAC-адреса на порту необходимо либо отключить правила безопасности порта, либо отредактировать MAC-адрес в правиле безопасности и выполнить очистку ARP-кэша.

Для настройки данного механизма необходимо:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Порты, выбрать необходимый порт виртуальной машины.

  3. В открывшемся окне Редактирование порта активировать опцию Поддержка пользовательской адресации.

    port ip 3
  4. Задать необходимый адрес на виртуальной машине.

1.5.3. Редактирование логического порта

После подключения виртуальной машины к логической подсети можно управлять адресацией конкретного интерфейса виртуальной машины.

Средствами SDN порту может быть присвоен статический адрес с учетом следующих ограничений:

  • адрес не используется;

  • адрес не является зарезервированным.

Порту адрес может быть присвоен динамически из доступного диапазона IP-адресов за исключением шшироковещательного адреса логической сети.

Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Порты.

  3. В списке выбрать необходимый порт.

  4. Нажать Редактировать и при необходимости изменить параметры во вкладке Адресация:

    Параметр Назначение Валидация

    Имя

    Отображаемое имя порта

    Строка. Может содержать:

    • от 3 до 30 символов

    • цифры

    • латинские буквы

    Не может содержать: * пробелы * спецсимволы * дефисы (-) * нижнее подчеркивание (_)

    Регистронезависимая

    Тип адресации

    Переключатель для выбора типа адресации.

    Указывает какой тип адресации будет использоваться для порта ВМ.

    IP-адрес в стандартном формате.

    Корректный IP-адрес.

    Принадлежит логической подсети, подключенной к логической сети, в которой находится этот порт. Не допускаются уже занятые адреса и адрес шлюза подсети.

    Поддержка пользовательской адресации.

    Логический переключатель.

    Активация функционала для использования параметров пользовательской адресации.

    Список трансляций

    Функционал для создания трансляций для конкретного порта ВМ.

    Указывается внешний и внутренний адрес для реализации правила трансляции.

    port edit new 1
  5. Перейти на вкладку Безопасность и при необходимости:

    • активировать поддержку групп безопасности;

    • задать группу безопасности;

    • добавить правила безопасности.

      port edit new 2
  6. Перейти на вкладку Зеркалирование и при необходимости выбрать зеркало из доступных.

    port edit new 3
  7. Нажать Сохранить.

Просмотр информации о логическом порте
Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Порты.

  3. В списке выбрать необходимый порт.

Справа появится информация о порте.

Таблица 4. Описание полей в просмотре логического порта
Поле Описание

Общая информация

ID объекта

Уникальный сгенерированный UUID объекта порта.

ID устройства

Уникальный сгенерированный UUID устройства.

Имя

Текстовое имя логического порта.

Группа безопасности

Логическое поле отображает поддержку групп безопасности для данного логического порта.

Правила безопасности

Логическое поле отображет использование правил безопасности на данном логическом порте.

MAC-адрес

Сгенерированный MAC-адрес логического порта.

Тип адресации

Выбранный тип адресации, статическая или динамическая.

IP-адрес

Адрес, присвоенный логическому порту

Логическая сеть

Имя

Текстовое имя сети, уникальное в пределах ЦД

MTU

Максимальный размера передаваемого кадра данных в этой сети.

Поддержка групп безопасности

Логический переключатель

Подсеть (Если подсеть прикреплена)

Имя

Имя объекта подсети, сопоставленного с этой логической сетью

Адрес шлюза сети

IP-адрес шлюза по умолчанию для этой сети

CIDR

Адресное пространство подсети

DNS-сервер

Адрес DNS-сервера, используемый в этой подсети

port detail new 4 2

Чтобы повторно запросить IP-адрес средствами виртуальной машины, необходимо выполнить DHCP-запрос с целью получения DHCP-ответа с обновленной информацией.

Безопасность порта

Механизм обеспечения безопасности порта используется для контроля используемых виртуальной машиной IP и MAC-адресов.

Правило безопасности порта содержит список адресов, которыми ВМ может пользоваться для отправки и получения одноадресного (unicast) трафика. Широковещаетельный (broadcast) и многоадресный (multicast) трафики не фильтруются, всегда разрешены.

Для создания правила безопасности порта:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Порты.

  3. В списке выбрать необходимый порт и нажать Редактировать.

  4. Активировать опцию *Правила безопасности.

  5. Задать необходимые MAC и IP-адрес.

    port sec 1
Примеры применения правил безопасности
  1. Если в правиле безопасности указан только MAC-адрес, то:

    port sec 2
    • порт может использовать данный MAC-адрес для сетевого обмена;

    • порт получает широковещательный и много адреснный трафик;

    • порт отвечает на ARP-запрос с указанием данного MAC-адреса.

  2. Если в правиле безопасности указан MAC-адрес и IP-адрес, то:

    port sec 3
    • порт может использовать комбинацию данных MAC-адреса и IP-адреса для сетевого обмена;

    • порт получает локальный широковещательный трафик на адрес x.x.x.255, вычисленный на основе маски подсети.

    • порт получает широковещательный трафик на адрес 255.255.255.255

    • порт получает групповой трафик от 224.0.0.0/4.

  3. Если в правиле безопасности указано несколько только MAC-адресов и один IP-адрес, то:

    port sec 4
    • порт может использовать MAC-адрес №1 для сетевого обмена с любыми IP-адресами;

    • порт может использовать комбинацию MAC-адреса №2 и данного IP-адреса для сетевого обмена;

    • порт получает широковещательный трафик 255.255.255.255 на оба MAC-адреса;

    • порт получает групповой трафик 224.0.0.0/4 на оба MAC-адреса;

    • порт получает локальный широковещательный трафик на адрес x.x.x.255, вычисленный на основе маски подсети и на MAC-адрес №2;

    • порт может отвечать ARP-пакетом только с указанием данных MAC-адресов.

  • При включенной пользовательской адресации изменение MAC и IP-адреса в правиле безопасности порта ограничит передачу трафика в соотвествии с заданными параметрами, т.е. трафик будет разрешен только для указанных MAC и/или IP-адресов.

  • При необходимости изменения MAC-адреса на порту необходимо либо отключить правила безопасности порта, либо отредактировать MAC-адрес в правиле безопасности и выполнить очистку ARP-кэша.

  • Правила безопасности порта могут быть использованы совместно с правилами указанными в группах безопасности.

1.6. Маршрутизация

1.6.1. Управление маршрутизацией

Для реализации межсетевого взаимодействия используется объект "логический маршрутизатор", который обеспечивает:

  • связи между всеми подключенными к маршрутизатору логическими сетями;

  • L3-связность подключенных логических сетей с физической сетью предприятия;

  • трансляцию и преобразование трафика;

  • механизм статической маршрутизации.

Реализация маршрутизации между подключенными сетями выполняется по следующему алгоритму, стандартному для IPv4-сетей:

  1. При подключении к логической сети маршрутизатор получает роль шлюза данной сети. Интерфейс маршрутизатора в этой логической сети получает IP-адрес, указанный как адрес шлюза в прикрепленной подсети.

  2. Виртуальные машины, подключенные к этой сети, получают адрес шлюза по умолчанию через динамическую конфигурацию, выполненную с помощью DHCP-протокола.

  3. Таблица маршрутизации маршрутизатора автоматически наполняется необходимыми маршрутами для обеспечения связности.

Маршрутизация возможна только между сетями, имеющие подключенные подсети.

Обеспечение связи между управляемой и внешней физической сетями предприятия реализуется с помощью объектов внешней сети с применением хоста виртуализации. Эти компоненты решают следующие задачи:

  • Создание поверх существующего объекта сети zVirt объекта внешней сети, который обозначает виртуальный коммутатор, созданный на базе физического подключения хоста виртуализации. Операции с объектом внешней сети транслируются в операции с виртуальным коммутатором, созданным на базе физического интерфейса

  • Контроль присваиваемых маршрутизаторам адресов в этой внешней сети с помощью объекта подсети, прикрепленного к объекту физической сети

    Чтобы избежать конфликтов при подключении, адресация прикрепленной подсети должна совпадать с адресацией физической сети.
  • Реализация Ethernet-подключения маршрутизатора к физической сети посредством физического интерфейса, на базе которого создан виртуальный коммутатор zVirt, на указанном хосте виртуализации. С этого физического подключения будет осуществляться передача трафика с MAC-адресом внешнего интерфейса маршрутизатора. Весь внешний трафик маршрутизатора будет проходить через интерфейс указанного хоста виртуализации.

Для обеспечения связи между логическими сетями и физической сетью предприятия необходимо соблюдение нескольких правил:

  1. Объект внешней сети, описывающий подключение zVirt к физической сети предприятия, должен быть создан и иметь корректную конфигурацию.

  2. При подключении внешнего интерфейса маршрутизатора необходимо указать корректный IP-адрес из диапазона прикрепленной к внешней сети подсети. Этот IP-адрес будет использоваться маршрутизатором для осуществления передачи в сети предприятия.

  3. При подключении маршрутизатора к физической сети необходимо указать хост виртуализации, который будет использоваться для физического подключения маршрутизатора.

  • Маршрут по умолчанию вносится в таблицу маршрутизации в соответствии с конфигурацией подсети, прикрепленной к используемой внешней сети

  • Исходящий из логических сетей трафик маршрутизируется в физическую сеть предприятия в неизмененном виде

  • Трафик, направленный во внешний интерфейс маршрутизатора, маршрутизируется в соответствующую логическую сеть

Создание логического маршрутизатора

Для создания логического маршрутизатора выполните следующие действия:

Порядок действий:
  1. На Портале администрирования перейдите в Сеть  Управляемые сети.

  2. Откройте вкладку Маршрутизаторы.

  3. Нажмите Создать маршрутизатор и задайте параметры согласно таблице ниже:

    Параметр Назначение Валидация

    Имя

    Отображаемое имя маршрутизатора

    Строка. Может содержать:

    • от 3 до 30 символов

    • цифры

    • латинские буквы

    Не может содержать:

    • пробелы

    • спецсимволы

    • дефисы (-)

    • нижнее подчеркивание (_)

    Регистронезависимая

  4. Нажмите Сохранить.

После создания маршрутизатор появится в списке на вкладке Маршрутизаторы и будут доступны функции по подключению интерфейсов, таблицы маршрутизации и таблицы трансляции.

Можно также создать маршрутизатор на вкладке Карта сетей с помощью кнопки Создать.

Подключение маршрутизатора к логической сети
Предварительные требования:
  • Должна существовать логическая сеть с подключенной к ней подсетью;

  • Подсеть должна содержать адрес шлюза по умолчанию.

Порядок действий:
  1. На Портале администрирования перейдите в Сеть  Управляемые сети.

  2. Откройте вкладку Маршрутизаторы.

  3. В списке выбрать необходимый маршрутизатор.

  4. На боковой панели справа нажать ДействияПодключить интерфейсВыберите сеть.

В пункте [Выберите сеть] будет отображаться список доступных сетей с подключенными к ним подсетями.

rout add new log 4 2
  1. Нажать Сохранить.

Отключение маршрутизатора от логической сети
Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Маршрутизаторы.

  3. В списке выбрать необходимый маршрутизатор.

  4. На боковой панели справа нажать ИнтерфейсыУдалить.

Удаление логического маршрутизатора
Предварительные требования:
  • Маршрутизатор на содержит записи в таблице трансляций;

  • Маршрутизатор не имеет подключенных к логическим сетям интерфейсов;

  • Маршрутизатор не имеет подключения к внешней сети.

Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Маршрутизаторы.

  3. В списке выбрать требуемый маршрутизатор.

  4. Нажать Удалить.

Просмотр информации о логическом маршрутизаторе
Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Маршрутизаторы.

  3. В списке выбрать требуемый маршрутизатор.

Справа появится информация о маршрутизаторе.

Таблица 5. Описание полей в просмотре логического маршрутизатора
Поле Описание

Общая информация

ID объекта

Уникальный сгенерированный UUID объекта логического маршрутизатора

Имя

Текстовое имя сети, уникальное в пределах ЦД

Внешний интерфейс

Сеть

Имя объекта сети

Адрес

Присвоенный интерфейсу адрес во внешней сети

Маршрут по умолчанию

Присвоенный маршрут по умолчанию для работы во внешней сети

Хост

Используемый в качестве точки доступа к внешней сети хост виртуализации

Интерфейсы (Повторяется по количеству подключенных интерфейсов)

Сеть

Имя объекта сети

Подсеть

Имя прикрепленной подсети

Адрес

Присвоенный интерфейсу адрес в логической сети

CIDR

Адресное пространство подсети

MTU

Максимальный размер кадра данных, используемый в этой сети

router details 4 2

1.7. Подключение к сети предприятия

Для организации взаимодействия между подсистемой управляемых сетей и физической сетью предприятия используются специальные объекты типа Внешняя сеть. Внешняя сеть представляет собой надстройку над существующей сетью zVirt, которая позволяет осуществлять подключение к данной физической сети из контура управляемых сетей с сохранением функционала.

Внешняя сеть zVirt может использоваться для подключения виртуальных машин (L2-подключение, "бридж") и логических маршрутизаторов (L3-подключение) управляемых сетей к физической сети предприятия. ВМ, подключенная к внешней сети, может использовать механизмы микросегментации и централизованное управление IP-адресацией.

Для применения в качестве основы внешней сети сеть zVirt должна соответствовать следующим критериям:

  • создана с применением стандартных инструментов управления сетями zVirt. Сеть zVirt может содержать или не содержать тэг VLAN в зависимости от конфигурации физической сети;

  • создан внутри центра данных с поддержкой управляемых сетей;

  • создана в пределах кластера с типом коммутации Open vSwitch и с подключенным провайдером внешних сетей ovirt-provider-ovn;

  • подключена к интерфейсам хостов виртуализации кластера в центре данных;

  • помечена как активная и работоспособная.

1.7.1. Управление внешними сетями

Создание внешней сети
Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Внешние сети.

  3. Нажать Создать внешнюю сеть и задать параметры согласно таблице ниже:

    Параметр Назначение Валидация

    Сеть ВМ

    Включение/отключение использования сети в качестве сети для виртуальных машин

    Логическое значение

    Имя

    Отображаемое имя сети

    Строка. Может содержать:

    • от 3 до 30 символов

    • цифры

    • латинские буквы

    Не может содержать: * пробелы * спецсимволы * дефисы (-) * нижнее подчеркивание (_)

    Регистронезависимая

    Центр данных

    Центр данных zVirt, в котором находится целевая сеть zVirt

    Центр данных должен существовать

    Сеть zVirt

    Имя сети zVirt, на базе которой будет создана внешняя сеть

    Сеть должна существовать и быть подключенной к физической сети предприятия через хосты виртуализации

    Тэг VLAN

    Номер VLAN. В случае, если используемая внешняя сеть является тэгированной

    Импортируется из объекта внешней сети

    MTU

    Максимальный размер передаваемого кадра данных

    Целое положительное число от 126 до 8942

    Поддержка групп безопасности

    Включение/отключение поддержки фильтрации трафика для портов в этой сети

    Логическое значение

    cr out net 4 2
  4. Нажать Сохранить.

После создания внешняя сеть появится в списке на вкладке Внешние сети.

Можно также создать внешнюю сеть на вкладке Карта сетей с помощью кнопки Создать.

Редактирование внешней сети
Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Внешние сети.

  3. В списке выбрать необходимую внешнюю сеть.

  4. Нажать Редактировать и изменить параметры, список которых указан в таблице ниже:

    Параметр Назначение Валидация

    Сеть ВМ

    Включение/отключение использования сети в качестве сети для виртуальных машин

    Логическое значение

    Имя

    Отображаемое имя сети

    Строка. Может содержать:

    • от 3 до 30 символов

    • цифры

    • латинские буквы

    Не может содержать: * пробелы * спецсимволы * дефисы (-) * нижнее подчеркивание (_)

    Регистронезависимая

    Центр данных

    Центр данных zVirt, в котором находится целевая сеть zVirt

    Центр данных должен существовать

    Сеть zVirt

    Имя сети zVirt, на базе которой будет создана внешняя сеть

    Сеть должна существовать, быть подключенной к физической сети предприятия через хосты виртуализации

    Тэг VLAN

    Номер VLAN. В случае, если используемая внешняя сеть является тэгированной

    Импортируется из объекта внешней сети

    MTU

    Максимальный размер передаваемого кадра данных

    Целое положительное число от 126 до 8942

    Поддержка групп безопасности

    Включение/отключение поддержки фильтрации трафика для портов в этой сети

    Логическое значение

  5. Нажать Сохранить.

Удаление внешней сети
Предварительные требования:
  • Внешняя сеть не должна иметь прикрепленной подсети;

  • Внешняя сеть не должна иметь подключенных к ней логических маршрутизаторов.

Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Внешние сети.

  3. В списке выбрать необходимую внешнюю сеть.

  4. Нажать Удалить.

Внешняя сеть будет удалена из подсистемы управляемых сетей и из списка сетей zVirt.

1.7.2. L2-подключение к сети предприятия

L2-подключение, Ethernet-подключение или "бриджинг" подразумевает подключение виртуальных машин, находящихся в контуре управляемых сетей, к существующему в физической сети предприятия широковещательному домену Ethernet. Такое подключение подразумевает:

  • Получение широковещательных запросов, передаваемых в физической сети, интерфейсом ВМ, подключенной к контуру управляемых сетей.

  • Возможность хостов физической сети и ВМ в контуре управляемых сетей участвовать в работе протоколов, подразумевающих нахождение участников в одном широковещательном домене (DHCP, VRRP и т.п.)

Подключение ВМ через контур управляемых сетей к существующей Ethernet-сети обеспечивает сохранение преимуществ управляемых сетей, таких как:

  • В отношении ВМ могут использоваться механизмы централизованного управления адресацией (через механизм подсетей и их прикрепление к внешней сети);

  • Порт ВМ может быть защищен с помощью механизмов микросегментации.

Так же формат L2-подключения подразумевает следующие ограничения:

  • Для работы правил микросегментации, использующих имя группы безопасности в качестве адреса источника\назначения, реально используемые ВМ адреса должны быть зарегистрированы на логическом порту(присвоены средствами программно-управляемой сети).

  • Внешние сети не будут автоматически маршрутизироваться с логическими сетями даже при наличии подключения к общему маршрутизатору.

Возможность применения внешней сети в качестве сети для виртуальных машин определяется специальным флагом.

Порядок действий для включения поддержки сети для виртуальных машин
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Внешние сети.

  3. В списке выбрать необходимую внешнюю сеть.

  4. Нажать Редактировать.

  5. Активировать опцию Сеть ВМ

    exnet for vm 4 2
  6. Нажать Сохранить.

Включение данного флага подразумевает импорт в основной интерфейс zVirt объекта сетевого подключения, по аналогии с применением логических сетей. Логика подключения ВМ к внешним сетям аналогична подключению к логическим.

1.7.3. L3-Подключение к сети предприятия

Для функционирования объекта внешней сети в качестве внешнего подключения для логического маршрутизатора необходимо прикрепить подсеть к объекту внешней сети. Подсеть для внешней сети должна содержать параметры физической сети предприятия, подключение к которой обеспечивается указанным при создании объектом сети zVirt: CIDR сети, маршрут по умолчанию, предпочитаемый адрес DNS-сервера.

Подсеть для внешней сети решает следующие задачи:

  • контроль адресации на внешнем интерфейсе. Выбранный для внешнего интерфейса маршрутизатора адрес должен соответствовать указанному в подсетях CIDR, не может занимать зарезервированные адреса;

  • конфигурация маршрутизации. Указанный в конфигурации подсети адрес шлюза будет использован как маршрут по умолчанию для маршрутизатора.

Подключение маршрутизатора к внешней сети
Предварительные требования:
  • Должна существовать внешняя сеть с прикрепленной к ней подсетью.

  • Выбранный IP-адрес внешнего интерфейса маршрутизатора должен соответствовать прикрепленной к внешней сети подсети.

  • Выбранный IP-адрес внешнего интерфейса маршрутизатора должен быть корректным для применения во внешней сети: отсутствие дублей, допустимая маска и т.п. Вопрос корректности решается администратором виртуализации самостоятельно.

Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Маршрутизаторы.

  3. В списке выбрать необходимый маршрутизатор.

  4. Нажать Действия.

  5. Выбрать из списка Подключение маршрутизатора к внешней сети и задать параметры согласно таблице ниже:

    Параметр Назначение Валидация

    Тип маршрутизатора

    Режим работы маршрутизатора

    При выборе стандартного режима подключение к внешней сети выполняется через один выбранный хост и в случае отказа хоста не работоспособно. Высокодоступный режим создает отказоустойчивое подключение маршрутизатора к внешней сети. Отказ хоста не приводит к остановке сетевого трафика Север-Юг.

    Хосты

    Хост или хосты виртуализации, используемые как физическая точка подключения маршрутизатора к физической сети предприятия

    Выбор из списка хостов виртуализации в составе центра данных с поддержкой управляемых сетей, через которые может выполнятся подключение маршрутизатора к внешней сети. При выборе типа маршрутизатора Высокодоступный подключение осуществляется через один хост из списка по приоритету (чем выше хост в списке, тем выше приоритет). Отказ хоста приводит к переключению маршрутизатора к внешней сети через следующий работающий хост.

    Сеть

    Внешняя сеть, через интерфейс которой маршрутизатор будет осуществлять подключение к физической сети предприятия

    Внешняя сеть должна существовать и иметь прикрепленную подсеть

    Подсеть

    Выбор подсети, прикрепленной к внешней сети, для контроля выбора IP-адреса внешнего интерфейса маршрутизатора

    Подсеть должна существовать и быть прикрепленной к внешней сети

    IP-адрес

    IP-адрес, присваиваемый внешнему интерфейсу маршрутизатора, используется для передачи трафика в физической сети предприятия

    IP-адрес должен быть корректным с техническим заданием конфигурации физической сети и соответствовать ограничениям подсети, прикрепленной к внешней сети

    ex int router1
  6. Нажмите Сохранить.

Отключение маршрутизатора от внешней сети
Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Маршрутизаторы.

  3. В списке выбрать требуемый маршрутизатор.

  4. На боковой панели справа нажать Внешний интерфейсУдалить.

Отключение маршрутизатора от внешней сети может быть выполнено, если отсутствуют активные трансляции адресов, выполняемые на этом маршрутизаторе.

1.7.4. Управление трансляциями

Объект маршрутизатора может быть использован для преобразования трафика между логическими сетями и внешней сетью.

Преобразование трафика между логическими сетями не производится.

Трансляция адресов выполняется с помощью правил трансляции, устанавливаемых на маршрутизаторе. Эти правила применяются, если маршрутизатор:

  • имеет корректно настроенный внешний интерфейс;

  • подключен к хосту виртуализации.

Применимы несколько типов преобразования адресов:

Вне зависисмости от типа преобразования адреса:

  • Внешний адрес трансляции не должен совпадать с другим внешним адресом трансляции любого правила преобразования любого маршрутизатора, подключенного к данной внешней сети.

  • Внешний адрес трансляции принадлежит подсети внешней сети, к которой подключен маршрутизатор.

  • Внутренний адрес трансляции HE может быть широковещательным адресом одной из подключенных подсетей.

  • Внутренний адрес трансляции принадлежит одной из подсетей, подключенных к данному маршрутизатору.

  • Внутренний адрес трансляции HE может быть адресом маршрутизатора в одной из подключенных подсетей.

  • Правило трансляции типа NAT осуществляет преобразование исходящего и входящего трафика за счет сопоставления "один к одному" внутреннего адреса с внешним адресом, обслуживаемым маршрутизатором. Для проходящих пакетов используется замена полей IP-адресов источника и назначения. Преобразование производится на хосте, к которому в данный момент прикреплен логический маршрутизатор.

  • Правило трансляции типа SNAT осуществляет преобразование исходящего из конкретного источника (IP-адреса) трафика за счет замены IPv4 поля адреса источника пакетов на указанный адрес, обслуживаемый внешним интерфейсом маршрутизатора. Таким образом, пакет для внешней сети выглядит как пакет отправленный самим маршрутизатором. Для поддержания связности производится так же модификация поля порта источника. Обратное преобразование ответных пакетов производится автоматически.Преобразование производится на хосте, к которому в данный момент прикреплен логический маршрутизатор.

  • Правило трансляции типа DNAT осуществляет преобразование входящего из внешней сети в логическую сеть трафика за счет замены IPv4 поля адреса назначения пакетов на указанный IP-адрес внутренней сети. Обратное преобразование ответных пакетов производится автоматически. Преобразование производится на хосте, к которому в данный момент прикреплен логический маршрутизатор.

  • Правило трансляции типа FIP Правило трансляции типа FIP обеспечивает преобразование исходящего и входящего трафика за счет сопоставления "один к одному" внутреннего адреса с внешним адресом. Трансляция осуществляется децентрализовано, преобразование производится на том хосте, где расположена виртуальная машина.

    FIP-трансляции допустимы только для виртуальных машин, запущенных на кластере с типом коммутации "OVS".

    Конфигурация трансляции FIP подразумевает указание идентификатора логического порта виртуальной машины, к адресу которой будет происходить сопоставление выбранного внешнего адреса.

    По умолчанию для обслуживания выбранного внешнего адреса во внешней сети используется копия MAC-адреса, закрепленного за данным логическим портом.

Изменение таблицы трансляций маршрутизатора

Таблица трансляций маршрутизатора определяет выполняемые преобразования трафика, выходящего за пределы подключенных логических сетей в сторону физической сети через подключенный внешний интерфейс.

Порядок действий:
  1. На Портале администрирования перейити в Сеть  Управляемые сети.

  2. Открыть вкладку Маршрутизаторы.

  3. В списке выбрать необходимый маршрутизатор.

  4. Нажать Действия.

  5. Выберите из списка Таблица трансляций.

  6. С помощью кнопок:

    • +NAT — можно добавить правило трасляции типа NAT.

    • +DNAT — можно добавить правило трасляции типа DNAT.

    • +SNAT — можно добавить правило трасляции типа SNAT.

    • +FIP — можно добавить правило трасляции типа FIP.

      type nat 4 2
  7. Для правила преобразования типа NAT, DNAT необходимо задать параметры согласно таблице ниже:

    Параметр Назначение Валидация

    Внешний адрес

    Внешний адрес, в который будет проходить трансляция.

    Адрес из внешней подсети маршрутизатора. Нельзя использовать адрес внешнего интерфейса маршрутизатора.

    Внутренняя подсеть

    Шаблон адреса источника пакетов, подлежащих трансляции.

    Корректный CIDR

    nat1 4 2
  8. Для правила преобразования типа SNAT необходимо задать параметры согласно таблице ниже:

    Параметр Назначение Валидация

    Внешний адрес

    Внешний адрес, в который будет проходить трансляция.

    Адрес из внешней подсети маршрутизатора. Нельзя использовать адрес внешнего интерфейса маршрутизатора.

    Внутренняя подсеть

    Шаблон адреса источника пакетов, подлежащих трансляции.

    Корректный CIDR внутренней подсети.

    nat2 4 2
  9. Для правила преобразования типа FIP необходимо задать параметры согласно таблице ниже:

    Параметр Назначение Валидация

    Внешний адрес

    Внешний адрес, в который будет проходить трансляция.

    Адрес из внешней подсети маршрутизатора. Нельзя использовать адрес внешнего интерфейса маршрутизатора.

    Внутренняя подсеть

    Шаблон адреса источника пакетов, подлежащих трансляции.

    Корректный CIDR

    |Порт |Сетевой интерфейс ВМ для которого будет настроен данный тип трансляции. |Выбранный из списка сетевой интерфейс ВМ, при необходимости можно изменить MAC-адрес.

    nat3 4 2
Статическая маршрутизация

Данный функционал предназначен для редактирования таблицы маршрутизации логического маршрутизатора и организации связи между сетями различных логических маршрутизаторов.

Порядок действий для создания статического маршрута:

  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Откройте вкладку Маршрутизаторы.

  3. В списке выбрать нужный маршрутизатор.

  4. В открывшемся справа меню нажмите btn: [Таблица маршрутизации].

  5. Нажмите Добавить маршрут.

  6. Укажите адрес и маску необходимой сети в окне Направление

  7. Укажите адрес шлюза в окне Next Hop

    Шлюз должен быть в одной подсети с внешним интерфейсом роутера.

    route table
  8. Нажмите Сохранить.

1.7.5. Обеспечение отказоустойчивости маршрутизации

Построение отказоустойчивой инфраструктуры базируется на использовании шасси. Шасси(chassis) - хост виртуализации, на котором развернут open vSwitch, выделенный для использования OVN. В системе может существовать несколько шасси и ввиду то что логический маршрутизатор распределен и присутствует на всех шасси,реализуется два подхода для организации L3 подключения к внешней сети:

  1. Стандартный

    Данный вариант требуют жесткой привязки маршрутизатора к точке подключения к физической сети и реализуется через 1 выбранный хост. В случает отказа хоста, сетевое подключение недоступно.

  2. Высокодоступный

    Данный вариант предполагает что при подключении логического порта маршрутизатора к внешней сети, он прикрепляется к шасси с наибольшим приоритетом. В случае отказа выбирается следующее по приоритету шасси.

    Принцип работы реализуется следующим образом:

    • Для внешнего порта роутера создаются несколько шасси (gateway_chassis) с различными приоритетами.

    • Сервис производит поиск среди зарегистрированных шасси и выбирает активным зарегистрированное шасси с максимальным приоритетом, создает для него сущность port_binding, которая осуществляет привязку логического порта к шасси.

    • Все остальные доступные шасси выполняют пересылку трафика на активное в данный момент шасси.

    • При наличии 2-х и более шасси для одного порта включается механизм мониторинга состояния шасси.

    • При отказе одного из шасси регистрируется его отказ на других шасси, пересчитывается топология и порт назначается на следующее по списку приоритетов шасси.

    • При восстановлении работы шасси с большим приоритетом, чем у активного, порт будет переключен на восстановленное шасси.

Ограничения отказоустойчивого подключения:

  • Все шасси должны находиться к кластере с типом коммутатором Open vSwitch.

  • Количество шассси не менее 3 и не более 100.

  • Шасси имеют приоритет, целое число от 0 до 32767. Чем больше число, тем выше приоритет шасси.

  • В один момент времени работает 1 шасси.

  • Отказ шасси (некорректное отключение сервисов) занимает несколько секунд на перестройку топологии трафика в зависимости от нагрузки и производительности инфраструктуры.

Для настройки высокодоступного соединения, необходимо:
  1. На Портале администрирования перейдите в Сеть  Управляемые сети.

  2. Откройте вкладку Маршрутизаторы.

  3. В списке выберите нужный маршрутизатор.

  4. Нажмите Действия → выберите из списка Подключить внешний интерфейс

  5. Выберите тип маршрутизатора Высокодоступный

  6. Перенести хосты из списка доступных хостов в окно Приоритет загрузки. В случае необходимости при помощи стрелок можно выстроить приоритет в окне Приоритет загрузки

  7. Выберите внешнюю сеть и подсеть

  8. Укажите IP-адрес для интерфейса из выбранной подсети.

    high router

1.8. Зеркалирование трафика

Подсистема управляемых сетей zVirt предоставляет возможность организации зеркалирования трафика логического порта и подачи его на локальный или удаленный приемник. Выполнение операций зеркалирования трафика потребляет ресурсы хостов виртуализации.

В рамках реализации функционала зеркалирования используются следующие понятия:

  • Порт-источник - порт отправления трафика, откуда копируются необходимые фреймы, в зависимости от типа может быть адресом или логическим портом.

  • Порт-слушатель - порт назначения трафика, куда отправляются скопированные фреймы, в зависимости от типа может быть адресом или логическим портом.

Реализовано несколько типов механизмов отправки зеркалированного трафика:

  • Локальное зеркалирование трафика

    При данном типе зеркалирования трафик копируется в момент прохождения логического порта (входящий, исходящий или оба направления, в зависимости от конфигурации зеркала) и передается на указанный логический порт слушателя, расположенного на том же хосте виртуализации, что и виртуальная машина, чей трафик логического порта зеркалируется.

    Данный тип зеркалирования не подразумевает передачу трафика за пределы хоста виртуализации.

    Если виртуальная машина, чей трафик логического порта зеркалируется, будет запущена (в результате миграции или ручного запуска) на хосте, где отсутствует зарегистрированный приемник трафика данного зеркала - зеркалирование производится не будет.

    Следует обеспечить наличие приемников трафика на всех хостах в пределах домена миграции виртуальной машины.

  • Удаленное зеркалирование трафика

    При данном типе зеркалирования трафик копируется в момент прохождения логического порта (входящий, исходящий или оба направления, в зависимости от конфигурации зеркала) и передается на указанный IP-адрес удаленного приемника зеркалированного трафика.

    Передача может производится по протоколам GRE и ERSPAN, адресом источника трафика будет IP-адрес хоста виртуализации (на котором в данный момент выполняется виртуальная машина, чей трафик логического порта зеркалируется) в сети управления.

    Данный тип зеркалирования подразумевает дополнительную сетевую нагрузку на сеть предприятия и дополнительные вычислительные расходы на хосте виртуализации.

    Для корректной передачи зеркалированного трафика по протоколам GRE и ERSPAN используется 32-битный идентификатор ключа в заголовке GRE, который применяется для тегирования пакетов разных туннелей идущих между одной парой точек.

    Зеркалирование ERSPAN использует протокол ERSPAN Type II, заголовок которого содержит информацию о идентификатере VLAN, типе инкапсуляции VLAN и классе обслуживания.

1.8.1. Замечания по зеркалированию

  • Виртуальнмая машина, выступающая приемником трафика для локального зеркала, должна быть подключена к SDN, прикреплена к одному хосту виртуализации и в момент присвоена роли приемника трафика должна быть выключена.

  • ВМ не может содержать одновременно порты-источники и порты-слушатели для зеркала.

  • При миграции ВМ с настроенным портом-источником с локальным зеркалированием на гипервизоре-назначении (хост куда мигрирует ВМ) предварительно должен быть настроен порт с аналогичным mirror-id, что и на источнике миграции, тогда автоматически появится зеркало до сконфигурированного порта.

    Важно учесть что в данном случаи зеркало создается до появления трафика на порту ВМ, то есть не будет потери трафика в зеркалирвоании, но, т.к. анализатор другой, то у анализатора возможна потеря сессии во внутреннем трафике исследуемой ВМ.

  • При миграции ВМ с настроенным портом источником с зеркалированием по протоколам GRE/ERSPAN туннель на гипервизоре-источнике удаляется и создается туннель на гипервизоре-приемнике с тем же gre key (идентификатор туннеля), но меняется адрес источника для построения GRE-туннеля.

  • В случае применения групп безопасности зеркалированный трафик в соотвествии с выбранным типом и направлением будет пропущен на зеркало.

1.8.2. Создание локального зеркала

Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Зеркалирование.

  3. На панели слева нажать + Добавить зеркало.

  4. Ввести имя зеркала. Имя должно быть длинной от 3 до 30 символов и содержит только символы: "A-Z","a-z", "0-9".

  5. Выбрать тип local.

  6. Выбрать направление трафика в портах источника.

  7. Нажать Сохранить.

    mirror1
  8. Созданное зеркало будет отображено в списке.

    mirror2
  9. В свойствах зеркала нажать на Порты-источники, для добавления источников трафика.

  10. В открышемся окне Порты-источники прикрепить порты ВМ, которые будут выступать источниками трафика.

    mir port source
    Порт-источник не может быть портом слушателем для другого зеркала.
  11. Нажмите Сохранить.

  12. В свойствах зеркала нажать на Порты-слушатели, для добавления портов, на которые будет перенаправлен трафик.

    Для привязки зеркала виртуальная машина должна быть выключена и порт не должен прослушиваться другим зеркалом.
  13. Нажмите Сохранить

1.8.3. Создания зеркала через GRE-туннель

Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Зеркалирование.

  3. На панели слева нажать + Добавить зеркало.

  4. Ввести имя зеркала. Имя должно быть длинной от 3 до 30 символов и содержит только символы: "A-Z","a-z", "0-9".

  5. Выбрать тип gre.

  6. Указать Адрес назначения.

  7. Выбрать направление трафика в портах источника.

  8. Указать Индекс в диапазоне от 0 до 65535.

    • Поле Индекс хранит значение уникального 32-битного идентификатора ключа в заголовка GRE, который используется для тегирования пакетов разных туннелей идущих между одной парой точек.

    • Значение идентификатора ключа в заголовке GRE должно быть одинаковым для источника и слушателя.

  9. Нажмите Сохранить.

  10. Созданное зеркало будет отображено в списке.

    mirror3
  11. В свойствах зеркала нажать на Порты-источники, для добавления источников трафика.

  12. В открышемся окне Порты-источники прикрепить порты ВМ, которые будут выступать источниками трафика.

    mir port source
  13. Нажать Сохранить.

1.8.4. Создание зеркала через ERSPAN-протокол

Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Зеркалирование.

  3. На панели слева нажать + Добавить зеркало.

  4. Ввести название зеркала.

  5. Выбрать тип erspan.

  6. Указать Адрес назначения.

  7. Указать Индекс.

    • Поле Индекс хранит значение уникального 32-битного идентификатора ключа в заголовка GRE, который используется для тегирования пакетов разных туннелей идущих между одной парой точек.

    • Значение идентификатора ключа в заголовке GRE должно быть одинаковым для источника и слушателя.

  8. Выбрать направление трафика в портах источника.

  9. Нажать Сохранить.

    mirror4
  10. В свойствах зеркала нажать на Порты-источники, для добавления источников трафика.

  11. В открывшемся окне Порты-источники прикрепить порты ВМ, которые будут выступать источниками трафика.

  12. Нажать Сохранить

1.8.5. Удаление зеркала

Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Зеркалирование.

  3. Выделить необходимое зеркало и в его свойствах открепить все порты-источники и порты-слушатели.

    delete mirror 1
  4. Нажать Сохранить.

  5. На панели сверху нажать Удалить.

  6. Подтвердить удаление зеркала.

1.9. Микросегментация

Микросегментация - это технология сетевой безопасности,которая позволяет логически разделить объекты системы виртуализации на сегменты безопасности на основании набора правил для сетевого трафика. Такой подход позволяет определить границы зон сетевой безопасности для каждого хоста.

1.9.1. Замечания о работе групп безопасности в zVirt

  1. По умолчанию правила безопасности наследуются от настройки поддержки безопасности портов логической сети, но могут быть переопределены.

  2. В случае включения поддержки безопасности сетевого порта механизм работает как "белый список" - разрешается трафик, который описан в правилах безопасности. В случае, если механизм безопасности сетевого порта включен, но ни одной группы безопасности(с правилами безопасности) не зарегистрировано для логического порта - весь трафик логического порта отбрасывается.

  3. Механизмы безопасности работают c L3 и L4 заголовками сетевых пакетов.

  4. Всем портам созданным в сети с включенной поддержкой механизмов безопасности назначается группа безопасности Default

  5. Группа безопасности по умолчанию содержит правила безопасности, разрешающие исходящий трафик в любом направлении и входящий трафик от хостов, принадлежащими к группе безопасности по умолчанию.

  6. При применении правил микросегментации на L2-подключенных портах нет возможности использовать другие группы безопасности в качестве источника или назначения трафика, поскольку в передаваемом и получаемом напрямую в L2 трафике отсутствуют необходимые метаданные.

Микросегментация на порту работает при следующих условиях:

  1. Для внешней сети SDN включена опция поддержки групп безопасности;

    notes sec gr 4 2
  2. Порт ВМ создан после включения поддержки группы безопасности (порты, созданные ранее, не имеют свойств фильтрации и их необходимо пересоздать).

1.9.2. Создание групп безопасности

Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Микросегментация.

  3. На боковой панели слева нажать +.

  4. Ввести название и описание группы безопасности.

    new sec gr 4 2
  5. Нажать Сохранить.

1.9.3. Удаление групп безопасности

Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Микросегментация.

  3. На боковой панели слева выбрать необходимую группу безопасности.

  4. Нажать Удалить.

Удаление группы безопасности невозможно до тех пор пока к ней подключены порты.

1.9.4. Структура правила безопасности

Правило безопасности представляет из себя набор критериев, ориентированных на проверку полей заголовка пакета различного уровня. Пакет, попадающий под все установленные критерии, принимается к передаче. Пакет, не попавший под все критерии любого правила(в том числе и ввиду отсутствия правил) - отбрасывается. Ниже описана структура критериев правила безопасности:

  1. Группы источники - позволяет выбрать заранее созданные группы безопасности,в рамках которых будет выполняться правило.

  2. Адрес - позволяет выбрать IP адрес хоста или интерфейса, для которых будет выполняться правило. Указывается в формате IP-адрес/число бит в маске подсети.

  3. Входящее - указывает, что правило будет применено для входящего трафика.

  4. Исходящее - указывает, что правило будет применено для исходящего трафика.

  5. Протокол - служит для идентификации протокола семейства IP. Используются текстовые обозначения протокола.

    Для одного протокола в одной группе безопасности можно создать одно входящее и одно исходящее правило.
    В пункте протоколы TCP или UDP есть возможность указать номер порта или диапазон портов.

1.9.5. Cоздание правила безопасности

Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Микросегментация.

  3. На бокой панели слева выбрать необходимую группу безопасности.

  4. На верхней панели нажать Добавить правило в группу. Для создания набора правил используется Генератор правил.

  5. Далее выбрать направление Входящее или Исходящее.

  6. Указать Группы-источники.

  7. При необходимости создать правила для конкретного адреса или сети заполните поле Адрес.

  8. При необходимости создать правила для конкретного протокола выберите протокол из выпадающего списка Протокол.

    Правило безопасности может быть комплексным, например можно запретить отправлять или принимать трафика по протоколу SSH для сети 10.10.10.0.24.
    sec rule 4 2
  9. Для просмотра правила нажать Предпросмотр.

    prev rule 4 2
  10. Для сохранения нажать Сохранить.

1.9.6. Удаление правила безопасности

Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Микросегментация.

  3. На боковой панели слева выбрать необходимую группу безопасности.

  4. В центральном окне выбрать необходимое правило.

  5. Нажать Удалить.

Для комплексного правила доступно удаление отдельных правил или параметров.

Например, было создано комплексное правило правило запрещающее входящий трафик про протоколу SSH для сетей 10.10.10.0/24 и 10.10.10.0/24. Для просмотра представления данного правила нажмите по правилу в списке.

view rule 4 2

Для удаления ограничения для сети 10.10.20.0 достаточно нажать на иконку корзина. Остальные правила остануться без изменений.

delete sec rule 4.2

1.9.7. Применение правил и групп безопасности

Порядок действий
  1. В параметрах сети включить поддержку групп безопасности, для этого:

    1. Перейти в Сеть  Управляемые сети.

    2. На вкладке Сети выделить необходимую сеть и нажать Редактировать.

    3. В открывшемся окне редактирования сети, активировать опцию Поддержка групп безопасности.

    4. Нажать Сохранить.

      sup sec1
  2. В параметрах порта выбрать необходимую группу безопасности, для этого:

    1. Нажмите Сеть  Управляемые сети

    2. Перейдите на вкладку Порты, выберите нужный порт и нажмите Редактировать

    3. В открывшемся окне редактирования порта в поле Группы безопасности, выберите нужные группы.

    4. Нажмите Сохранить

      sup sec2
  3. Проверить добавление виртуальной машины и порта к группе безопасности, для этого:

    1. Перейти в Сеть  Управляемые сети.

    2. Перейти во вкладку Микросегментация.

    3. Выбрать необходимую группу безопасности и открыть вкладку Виртуальные машины.

      sup sec3

1.10. Резервное копирование и восстановление конфигурации SDN

Резервная копия конфигурации SDN выполняется при полном резервном копировании всей конфигурации гипервизора.

Порядок действий для создания резервной копии
  1. Перейти во вкладку УправлениеРезервное копирование конфигураций

  2. Рекомендуется предварительно добавить хранилище для резервных копий, для этого:

    • Перейти во вкладку Хранилище резервных копийДобавить хранилище

    • В открывшейся вкладке Добавление хранилища указать следующие параметры:

      • Хост - IP-адрес или FQDN-имя хранилища

      • Порт - номер порта для удаленного подключения (по умолчанию 22)

      • Путь к резервной копии - путь до директории, где будет храниться резервная копия

      • Пользователь - имя пользователя

      • Пароль - пароль указанного пользователя

    • Нажать Добавить хранилище

      Если хранилище резервных копий не добавлено, то резервная копия по умолчанию сохраняется на хост с менеджером управления в директорию /var/lib/zvirt-engine-backup/
  3. Для создания однократной резервной копии выберите Ручное резервное копирование и заполните следующие параметры:

    • Расположение файла резервной копии - путь до директории, где будет сохранена резервная копия.

    • Состав компонентов - список файлов и баз конфигурации, которые будут содержаться в резервной копии.

    • Хранилище - выбирается подключение к хранилищу из списка доступных в формате пользователь@IP-адрес:номер порта/путь до директории, или остается пустым и резервная копия сохраняется в путь по умолчанию.

    • Нажать Создать резервную копию

      backup sdn 1
  4. Для многократного сохранения резервных копий настройте Расписание резервного копирования. Для этого:

    • Перейти во вкладку Расписание резервного копирования и нажать Создать задачу

    • В открывшейся вкладке Добавление задачи указать следующие параметры:

      • Расположение файла резервной копии - путь до директории, где будет сохранена резервная копия.

      • Расписание (Формат Quartz cron) - укажите расписание в формате из шести полей <минута> <час> <число> <месяц> <день недели> <год>

        Диапазоны полей:

        • год: 1900-3000

        • день недели: 1-7, где 1- понедельник и 7 - воскресенье

        • месяц: 1-12

        • часы: 0-23

        • минуты: 0-59

      • Состав компонентов - список файлов и баз конфигурации, которые будут содержаться в резервной копии.

      • * Хранилище - выбирается подключение к резервному копированию из списка доступных в формате пользователь@IP-адрес:номер порта/путь до директории, или остается пустым и резервная копия сохраняется в путь по умолчанию.

        backup sdn 2
  5. Подключиться к хранилищу и проверить наличие файла xxxxx.ovnnb_db.db.backup с резервной копии в указанной директории.

    Вместо xxxxx в имени файла ovnnb_db.db.backup при создании резервной копии указывается дата и время в формате год : месяц : день : час : минуты : секунды без разделителей и пробелов например, 20240206141053.ovnnb_db.db.
Порядок действий для восстановления конфигурации SDN
  1. Выполнить резервное копирование согласно выше описанной инструкции.

  2. Подключиться по ssh к виртуальном машине с менеджером управления.

  3. Остановить работу службы ovn-northd.service при помощи команды:

    systemctl stop ovn-northd.service
  4. Скопировать и переименовать файл резервной копии в директорию /var/lib/ovn/ при помощи команды:

    cp 20240205135357.ovnnb_db.db /var/lib/ovn/ovnnb_db.db
  5. Проверить владельца и группу владельца файла ovnnb_db.db, в параметрах должны быть указаны openvswitch

    # ls -l
    total 196
    -rw-r-----. 1 openvswitch openvswitch  27279 Feb  6 14:06 ovnnb_db.db
    -rw-r-----. 1 openvswitch openvswitch 169918 Feb  6 14:07 ovnsb_db.db
  6. Запустить службу ovn-northd.service при помощи команды:

    systemctl start ovirt-engine.service
  7. Выполнить перезапуск виртуальной машины с менеджером управления.

  8. Проверить восстановленную конфигурацию в меню СетиУправляемые сети.

1.11. Карта сетей

Подсистема управляемых сетей zVirt предоставляет возможность построения карты сетевой инфраструктуры.

Порядок действий:
  1. На Портале администрирования перейти в Сеть  Управляемые сети.

  2. Открыть вкладку Карта сетей.

  3. В центральной области нажать Построить карту сетей.

  4. В результате будет отображена топология сети.

    network map
  5. Для просмотра информации о конкретном объекте на карте сетей необходимо нажать на данный объект и в правой панели отобразиться информация о его параметрах.

    В зависимости об типа объекта будет отображен разный набор параметров, например для внешней сети будут отображены такие параметры как: ID, имя, сеть, тег VLAN, MTU, поддержка групп безопасности и параметры подсети.

    network map1
  6. Для редактирования свойств объекта, необходимо выделить объект на карте и нажать Редактировать.

    Далее будет открыто стандартное окно для редактирования соответствующего объекта.

    Если объект содержит вложенные сущности или дополнительные параметры, то редактирование можно осуществлять после выделения объекта в правой панели.

    Например, после выделения логического маршрутизатора на карте то в правой панели можно добавить внутренний или внешний интерфейс, отредактировать таблицу трансляций или таблицу маршрутизации.

    network map2
  7. Для просмотра подключенных виртуальных машин к логической сети, необходимо выделить соответствующую логическую сеть на карте и в нижней части интерфейса будет отображена таблица с подключенными портами и виртуальными машинами

    network map3
    network map4