XenServerOVS

• Launchpad 条目: NovaSpec:xs-ovs
• 创建:
• 贡献者:

总结

为 XenServer 添加了对 Open vSwitch 的支持。这允许从 XenServer 中的标准 Linux 网桥过渡，并为我们提供了更精细的网络保护，而无需使用 iptables、arptables 或 ebtables 来保护主机。OVS 还将提供更好的 IPv6 保护，这将使我们能够防止当前无法使用 Liunx 网桥正确保护的 NDP 攻击等攻击。

发布说明

OVS 当前捆绑在 XenServer 平台中。ACL 将在实例创建和销毁时触发，以保护客户机。如果使用一组通用的安全规则，则可以在 dom0 中独立于 Nova 运行。

原理

开箱即用，XenServer 专为单个企业构建，并没有真正构建具有服务提供商通常需要的多租户概念。为了完全确保客户机之间的安全，需要将某些网络规则应用于每个客户机的虚拟接口，由虚拟机监控程序执行。这可确保更好的安全性和整体更好的客户机体验。

用户故事

1. 作为服务提供商，我希望确保客户实例的安全。
2. 作为用户，我希望确保我的实例受到保护。

前提条件

NovaSpec:xs-inject-networking 存在，以便脚本获取其规则的输入数据。目前 OVS 今天不支持 IPv6，但 Citrix 正在努力开发一个新版本，该版本将包含在未来版本的 XenServer 中。

设计

确定需要实施哪些 ACL 来阻止所有正确的流量。需要防止 IPv4 的 ARP 欺骗、MAC 地址欺骗和未经授权的流量嗅探。还需要防止 IPv6 中的 NDP 攻击。脚本需要接收 MAC、VIF #、IPv4 和 IPv6 输入才能生成规则。

实现

vif_rules.py 会在主机节点配置时推送到 XenServer 主机。在 VM 启动、重新启动或关闭时运行启用或禁用规则的脚本。

代码变更

对 XenServer dom0 中的 vif_rules.py 和 vif 脚本进行修改。这将在主机上独立于计算运行。

测试/演示计划

这不必在规范接近 Beta 之前添加或完成。