vEthernet
Nimbula Directorでは、先述のようにFirewall機能(Security List)の機能を用いることで、マルチテナント環境におけるL3/L4レベルでのセキュリティを実現しています。
しかしこの方法だけでは、利用するアプリケーションの制限からFirewallのルールを定義することが難しい場合や、テナントごとに上位ネットワークの接続を設けたい場合に制約が発生します。
そこで、Nimbula Directorではその要件を満たすために、vEthernetという機能で VLANによりL2レベルでの独立性を保つことが可能となっています。
vEthernetを使用した環境では、図3のような構成になります。vEthernetはタグVLANが利用されますので、事前にNimbula Directorが接続するスイッチ上で、vEthernetで利用するVLANIDのトランクを許可しておくことが必要となります。
vEthernetは物理ネットワークのVLANと紐付けされ、L2レベルでの独立性を保ちます。また、vEthernetは必ずvDHCPとセットで利用されるのですが、vDHCPというのはインスタンスが指定されたVLANに所属する際に割り当てられる事前定義されたネットワーク情報です。
vEthernetを利用しない場合は、site.confにインスタンス用に指定された範囲からIPアドレスが自動的に割り当てられますが、vEthernetを利用する場合は、vEthernetに紐付いているvDHCPで指定された範囲からインスタンスにIPアドレスが払い出されます(図3-1、図3-2)。
また、vEthernetを利用しない場合は、インスタンスごとにtapデバイスが作成され、それがbond0を使用して外部と疎通する仕組みですが、vEthernetを使用する場合は、複数のtapデバイスを束ねるブリッジが作成されます(図3-3)。
ブリッジはvEthernetが作成されると、Nimbula Director上のVLANインタフェースと紐付られます(図3-4)。
以下ではvEthernetの使い方を紹介します。
vEthernetは、デフォルトでは/root/rootにのみ作成権限が与えられているため、一度ログアウトして/root/rootでログインを行います。
[Virtual Networks]→[Virtual Ethernet]の順にクリックし、画面右下の[Create VEthernet]をクリックします。
次に、以下のように設定後、[Save]をクリックします。
Name: /acme/administrator/vlan100 Description: vlan100 Type: vlan ID: 100
ここでName欄は「/テナント名/administrator/vEthernet名」の形式で入力する必要があります。この形式で入力することで、特定のテナントがvEthernetを利用する権限を与えられます。
本稿ではacmeテナントにvEthernetを使用させるため、「/acme/administrator/vlan100」と入力します。
現在は/root/rootでログインしているため、Name欄には/root/rootがデフォルトで設定されているので注意してください。
作成後、画面中央にvEthernetが作成されていることを確認します。
以上でvEthernetの作成は完了です。vEtherntの作成が完了したら、ポータルサイトからログアウトします。vEhternetを複数作成する場合は、同様の手順で未使用のVLANIDを指定し、vEthernetを作成してください。