Utilisation des réseaux virtuels sécurisés
La fonctionnalité de réseau virtuel sécurisé étend des privilèges aux domaines invités sécurisés et permet l'affectation dynamique d'adresses MAC et ID VLAN alternatifs aux périphériques vnet. Ces adresses MAC et ID VLAN servent à configurer des périphériques virtuels. Avant l'introduction de cette fonctionnalité, il n'était possible d'effectuer ces affectations qu'à partir du Logical Domains Manager. En outre, l'affectation d'adresses MAC alternatives nécessitait que le domaine hébergeant le périphérique de réseau virtuel soit lié. Cette fonctionnalité permet la création dynamique de périphériques virtuels tels que des cartes d'interface réseau virtuelles (VNIC) et des VLAN venant s'ajouter aux périphériques de réseau virtuel.
Pour utiliser la fonctionnalité de réseau virtuel sécurisé sur un périphérique vnet, vous devez créer ou configurer le périphérique en mode sécurisé à l'aide du Logical Domains Manager. Par défaut, le mode sécurisé est activé quand un périphérique vnet est créé.
La fonctionnalité de réseau virtuel sécurisé prend en charge la migration en direct, la réinitialisation du domaine de service ainsi que plusieurs fonctions du domaine de service.
Exigences et restrictions relatives au réseau virtuel sécurisé
Vous pouvez configurer un réseau virtuel sécurisé en exécutant les commandes ldm add-vnet et ldm set-vnet pour définir la propriété custom=enable. Notez que vous devez indiquer des valeurs pour les propriétés custom/max-mac-addrs et custom/max-vlans afin de garantir que le nombre d'adresses MAC et de VLAN personnalisés soit limité pour le périphérique de réseau virtuel spécifié. Ces deux valeurs de propriété sont, par défaut, définies sur 4096.
La fonctionnalité de réseau virtuel sécurisé requiert au minimum le SE Oracle Solaris 11.3 SRU 8.
Le domaine invité comportant le périphérique virtuel personnalisé et le domaine de service comportant le commutateur virtuel correspondant requièrent tous les deux la version la plus récente de ce microprogramme système.
custom – Permet d'activer ou de désactiver la fonctionnalité de réseau virtuel sécurisé. Cette fonctionnalité permet à une entité sécurisée d'ajouter des ID VLAN personnalisés et des adresses MAC alternatives personnalisées en mode dynamique.
custom/max-mac-addrs – Permet d'indiquer le nombre maximal d'adresses MAC alternatives personnalisées à configurer sur un périphérique de réseau virtuel sécurisé donné.
custom/max-vlans – Permet d'indiquer le nombre maximal d'ID VLAN alternatifs personnalisés à configurer sur un périphérique de réseau virtuel sécurisé donné.
Pour configurer un réseau virtuel sécurisé, vous devez indiquer les informations suivantes :
Vous ne pouvez pas utiliser le Logical Domains Manager pour configurer des adresses MAC ou ID VLAN alternatifs sur un réseau virtuel sécurisé donné.
Pour modifier des adresses MAC alternatives personnalisées ou existantes, le domaine doit être lié.
Vous pouvez augmenter les valeurs des propriétés custom/max-mac-addrs et custom/max-vlans, de façon dynamique. En revanche, pour que vous puissiez réduire ces valeurs, le domaine doit être lié.
Remarque - Une réduction des valeurs de ces propriétés peut avoir des effets indésirables. Par conséquent, veillez à supprimer tout VNIC ou VLAN créé sur l'hôte dont vous n'avez pas besoin car vous ne contrôlez absolument pas les adresses MAC ou les ID de VLAN que le système d'exploitation va retenir.En outre, définissez custom=disable sur le périphérique réseau virtuel avant d'exécuter la commande ldm set-vnet afin de réduire le nombre maximum d'ID de VLAN et d'adresses MAC pour le périphérique réseau virtuel personnalisé.
Mise en garde - Cette fonctionnalité a pour objet de limiter et de contrôler ces propriétés.
Veillez à supprimer les périphériques VNIC et VLAN qui ont été créés avant de réduire le nombre des ID VLAN personnalisés ou des adresses MAC alternatives personnalisées. Autrement, le domaine invité comportera des VNIC qui ne pourront pas être configurés et devront être supprimés manuellement.
La commande dladm show-vnic -m affiche les adresses MAC et ID VLAN qui sont configurés sur le réseau virtuel indiqué. La commande dladm show-vnic -m affiche les adresses MAC et ID VLAN alternatifs en cours d'utilisation sur le domaine invité. Cela provient des anciennes versions où tous les adresses MAC et ID VLAN alternatifs étaient préconfigurés sur le commutateur virtuel.
La fonctionnalité de réseau virtuel sécurisé et la fonctionnalité PVLAN s'excluent mutuellement.
Le Logical Domains Manager tente de valider la prise en charge du domaine invité et du domaine de service pour cette fonctionnalité avant d'activer la fonctionnalité personnalisée. Si le domaine invité n'est pas en cours d'exécution, vous pouvez activer cette fonctionnalité si le domaine de service la prend en charge. En revanche, si le domaine invité ne prend pas en charge la fonctionnalité, vous devez définir custom=disabled avant de pouvoir réactiver les adresses MAC et ID VLAN alternatifs non personnalisés.
Vous pouvez effectuer une migration en direct d'un domaine avec des réseaux virtuels sécurisés uniquement si le domaine de service cible prend en charge la fonctionnalité de réseau virtuel sécurisé.
Les restrictions suivantes s'appliquent à la fonctionnalité de réseau virtuel sécurisé :
Configuration des réseaux virtuels sécurisés
Cette section décrit les tâches expliquant comment créer des réseaux virtuels sécurisés et obtenir des informations les concernant.
Vous pouvez configurer un réseau virtuel sécurisé en définissant la valeur de la propriété custom à l'aide de la commande ldm add-vnet ou ldm set-vnet. Reportez-vous à la page de manuel ldm(1M).
Exemple 48 Création d'un réseau virtuel sécuriséVous pouvez exécuter les commandes suivantes pour créer un réseau virtuel sécurisé ldg1_vnet0 sur le commutateur virtuel primary-vsw0 dans le domaine ldg1. Les valeurs des propriétés custom/max-mac-addrs et custom/max-vlans sont définies par défaut sur 4096.
primary# ldm add-vnet custom=enable ldg1_vnet0 primary-vsw0 ldg1
primary# ldm list -o network ldg1
...
NETWORK
NAME SERVICE MACADDRESS PVID|PVLAN|VIDs
---- ------- ---------- ---------------
ldg1-vnet0 primary-vsw0@primary 00:14:4f:fa:d7:5e 1|--|--
DEVICE :network@1 ID :1
LINKPROP :phys-state MTU :1500
MAXBW :-- MODE :--
CUSTOM :enable
MAX-CUSTOM-MACS:4096 MAX-CUSTOM-VLANS:4096
PRIORITY :-- COS :--
PROTECTION :--
Exemple 49 Activation de la fonctionnalité de réseau virtuel sécurisé sur un réseau virtuel existant
L'exemple suivant montre comment activer la fonctionnalité de réseau virtuel sécurisé en définissant custom=enable pour le périphérique de réseau virtuel ldg1_vnet0 dans le domaine ldg1. Les valeurs des propriétés custom/max-mac-addrs et custom/max-vlans sont définies par défaut sur 4096.
primary# ldm set-vnet custom=enabled ldg1_vnet0 ldg1
primary# ldm list -o network ldg1
...
NETWORK
NAME SERVICE MACADDRESS PVID|PVLAN|VIDs
---- ------- ---------- ---------------
ldg1-vnet0 primary-vsw0@primary 00:14:4f:fa:d7:5e 1|--|--
DEVICE :network@1 ID :1
LINKPROP :phys-state MTU :1500
MAXBW :-- MODE :--
CUSTOM :enable
MAX-CUSTOM-MACS:4096 MAX-CUSTOM-VLANS:4096
PRIORITY :-- COS :--
PROTECTION :--
Exemple 50 Définition des propriétés custom/max-mac-addrs et custom/max-vlans
L'exemple suivant définit la valeur de la propriété custom/max-vlans sur 12 et celle de custom/max-mac-addrs sur 13.
Comme ces nouvelles valeurs de propriété sont inférieures aux valeurs précédentes, vous ne pouvez pas modifier ces paramètres de façon dynamique. Vous ne pouvez apporter ces modifications que pour un domaine lié ou inactif.
primary# ldm stop ldg1
primary# ldm set-vnet custom/max-vlans=12 custom/max-mac-addrs=13 ldg1_vnet0 ldg1
primary# ldm list -o network ldg1
...
NETWORK
NAME SERVICE MACADDRESS PVID|PVLAN|VIDs
---- ------- ---------- ---------------
ldg1-vnet0 primary-vsw0@primary 00:14:4f:fa:d7:5e 1|--|--
DEVICE :network@1 ID :1
LINKPROP :phys-state MTU :1500
MAXBW :-- MODE :--
CUSTOM :enable
MAX-CUSTOM-MACS:13 MAX-CUSTOM-VLANS:12
PRIORITY :-- COS :--
PROTECTION :--
Exemple 51 Réinitialisation des propriétés custom/max-mac-addrs et custom/max-vlans
L'exemple suivant montre comment réinitialiser la valeur de la propriété custom/max-vlans sur sa valeur par défaut, soit 4096, en spécifiant une valeur NULL.
Quand custom=enabled, vous pouvez réinitialiser la valeur de la propriété custom/max-vlans, la valeur de la propriété custom/max-mac-addrs, ou les deux.
primary# ldm set-vnet custom/max-mac-addrs= ldg1_vnet0 ldg1
primary# ldm list -o network ldg1
...
NETWORK
NAME SERVICE MACADDRESS PVID|PVLAN|VIDs
---- ------- ---------- ---------------
ldg1-vnet0 primary-vsw0@primary 00:14:4f:fa:d7:5e 1|--|--
DEVICE :network@1 ID :1
LINKPROP :phys-state MTU :1500
MAXBW :-- MODE :--
CUSTOM :enable
MAX-CUSTOM-MACS:4096 MAX-CUSTOM-VLANS:12
PRIORITY :-- COS :--
PROTECTION :--
Exemple 52 Modification des valeurs des propriétés custom/max-mac-addrs et custom/max-vlans
L'exemple suivant montre comment augmenter la valeur de la propriété custom/max-vlans et réduire celle de custom/max-mac-addrs. Vous pouvez augmenter la valeur de la propriété custom/max-vlans à 24, de façon dynamique, car la valeur 24 est supérieure à la précédente qui était 12. Cependant, comme vous réduisez la valeur maximale pour custom/max-mac-addrs de 4096 à 11, vous devez d'abord arrêter le domaine.
primary# ldm set-vnet custom/max-vlans=24 ldg1_vnet0 ldg1
primary# ldm stop ldg1
primary# ldm set-vnet custom/max-mac-addrs=11 ldg1_vnet0 ldg1
primary# ldm list -o network ldg1
...
NETWORK
NAME SERVICE MACADDRESS PVID|PVLAN|VIDs
---- ------- ---------- ---------------
ldg1-vnet0 primary-vsw0@primary 00:14:4f:fa:d7:5e 1|--|--
DEVICE :network@1 ID :1
LINKPROP :phys-state MTU :1500
MAXBW :-- MODE :--
CUSTOM :enable
MAX-CUSTOM-MACS:11 MAX-CUSTOM-VLANS:24
PRIORITY :-- COS :--
PROTECTION :--
Exemple 53 Désactivation de la fonctionnalité de réseau virtuel sécurisé
L'exemple suivant montre comment désactiver la propriété custom pour le périphérique de réseau virtuel ldg1_vnet0 dans le domaine ldg1.
primary# ldm set-vnet custom=disabled ldg1_vnet0 ldg1
...
NETWORK
NAME SERVICE MACADDRESS PVID|PVLAN|VIDs
---- ------- ---------- ---------------
ldg1-vnet0 primary-vsw0@primary 00:14:4f:fa:d7:5e 1|--|--
DEVICE :network@1 ID :1
LINKPROP :phys-state MTU :1500
MAXBW :-- MODE :--
CUSTOM :disable
PRIORITY :-- COS :--
PROTECTION :--
Affichage des informations de réseau virtuel sécurisé
Vous pouvez obtenir des informations sur les paramètres de réseau virtuel sécurisé à l'aide de plusieurs sous-commandes list du Logical Domains Manager. Reportez-vous à la page de manuel ldm(1M).
L'exemple suivant montre comment utiliser la commande ldm list-domain pour afficher des informations sur une configuration de réseau virtuel sécurisé pour le domaine ldg1 :
primary# ldm list-domain -o network ldg1 ... NETWORK NAME SERVICE MACADDRESS PVID|PVLAN|VIDs ---- ------- ---------- --------------- ldg1-vnet0 primary-vsw0@primary 00:14:4f:fa:d7:5e 1|--|-- DEVICE :network@1 ID :1 LINKPROP :phys-state MTU :1500 MAXBW :-- MODE :-- CUSTOM :enable MAX-CUSTOM-MACS:11 MAX-CUSTOM-VLANS:24 PRIORITY :-- COS :-- PROTECTION :--L'exemple suivant montre comment utiliser la commande ldm list-domain pour afficher des informations sur une configuration de réseau virtuel sécurisé, sous une forme analysable, pour le domaine ldg1 :
primary# ldm list-domain -o network -p ldg1 VERSION 1.19 DOMAIN|name=ldg1| MAC|mac-addr=00:14:4f:f9:4b:d0 VNET|name=ldg1-vnet0|dev=network@1|service=primary-vsw0@primary|mac-addr=00:14:4f:fa:d7:5e|mode=|pvid=1|vid=|mtu=1500|linkprop=phys-state|id=1|alt-mac-addrs=|maxbw=|pvlan=|protection=|priority=|cos=|custom=enable|max-mac-addrs=11|max-vlans=24
L'exemple suivant montre comment utiliser la commande ldm list-bindings pour afficher des informations sur une configuration de réseau virtuel sécurisé pour le domaine ldg1 :
primary# ldm list-bindings -e -o network ldg1 ... NETWORK NAME SERVICE MACADDRESS PVID|PVLAN|VIDs ---- ------- ---------- --------------- ldg1-vnet0 primary-vsw0@primary 00:14:4f:fa:d7:5e 1|--|-- DEVICE :network@1 ID :1 LINKPROP :phys-state MTU :1500 MAXBW :-- MODE :-- CUSTOM :enable MAX-CUSTOM-MACS:11 MAX-CUSTOM-VLANS:24 PRIORITY :-- COS :-- PROTECTION :-- PEER MACADDRESS PVID|PVLAN|VIDs ---- ---------- --------------- primary-vsw0@primary 00:14:4f:f9:08:28 1|--|-- LINKPROP :-- MTU :1500 MAXBW :-- LDC :0x5 MODE :--L'exemple suivant montre comment utiliser la commande ldm list-bindings pour afficher des informations sur une configuration de réseau virtuel sécurisé, sous une forme analysable, pour le domaine ldg1 :
primary# ldm list-bindings -p ldg1 ... VNET|name=ldg1-vnet0|dev=network@1|service=primary-vsw0@primary|mac-addr=00:14:4f:fa:d7:5e|mode=|pvid=1|vid=|mtu=1500|linkprop=phys-state|id=1|alt-mac-addrs=|maxbw=|pvlan=|protection=|priority=|cos=|custom=enable|max-mac-addrs=11|max-vlans=24 |peer=primary-vsw0@primary|mac-addr=00:14:4f:f9:08:28|mode=|pvid=1|vid=|mtu=1500|maxbw=
L'exemple suivant montre comment générer un XML en exécutant la commande ldm list-constraints -x :
primary# ldm list-constraints -x ldg1 ... <Section xsi:type="ovf:VirtualHardwareSection_Type"> <Item> <rasd:OtherResourceType>network</rasd:OtherResourceType> <rasd:Address>auto-allocated</rasd:Address> <gprop:GenericProperty key="vnet_name">ldg1-vnet0</gprop:GenericProperty> <gprop:GenericProperty key="service_name">primary-vsw0</gprop:GenericProperty> <gprop:GenericProperty key="pvid">1</gprop:GenericProperty> <gprop:GenericProperty key="linkprop">phys-state</gprop:GenericProperty> <gprop:GenericProperty key="custom">enable</gprop:GenericProperty> <gprop:GenericProperty key="max-mac-addrs">11</gprop:GenericProperty> <gprop:GenericProperty key="max-vlans">24</gprop:GenericProperty> <gprop:GenericProperty key="device">network@1</gprop:GenericProperty> <gprop:GenericProperty key="id">1</gprop:GenericProperty> </Item> </Section>
Les exemples suivants utilisent les commandes ldm list-domain -o network, ldm list-bindings et ldm list-constraints pour afficher des informations sur une configuration de réseau virtuel sécurisé.