Eu tenho um pool de hosts XenServer rodando a versão Free do XenServer 5.6 FP1. Eu queria saber se eu mudar o backend de rede para usar o Open vSwitch se eu posso especificar ACLs em VIFs de rede individuais sem precisar usar o dispositivo DVS (switch virtual distribuído) que requer uma licença avançada ou superior.
Basicamente, estou procurando uma maneira de isolar VMs na minha rede para que, se um usuário tivesse acesso root na linha de comando, não conseguisse acessar outros servidores que não deveria conseguir (sem usar uma VLAN). / p>
O Open vSwitch suporta o monitoramento de tráfego sFlow que você pode usar para detectar atividades suspeitas e gerenciar a rede e sistema XenServer desempenho. Os comandos ovs- * são usados para configurar o vSwitch, parece que você pode usar o ovs-ofctl para adicionar ACLs.
Peter está certo, você pode usar o "ovs-ofctl" para adicionar ACLs. O problema que você terá é que toda vez que você reiniciar ou migrar uma VM, os VIFs serão conectados a novas portas de switch e perderão sua configuração. Você poderia tentar personalizar / etc / xensource / scripts / vif - este script é responsável por adicionar um VIF a uma porta vswitch ... esta seria a porta ideal para adicionar ACLs novamente.