🔺 🕦 🐺 パブリックおよびプライベートOpenStackクラウドでのネットワーキング用のフローティングIPアドレス 👨🏿‍🤝‍👨🏻 🦎 📶

投稿者：Piotr Siwczak

VlanManagerがどのように機能し、ネットワークスケーラビリティとユーザー分離を提供するかを最近説明しました。しかし、これまでは、異なるユーザーに属する固定IPネットワークについてのみ説明してきました。デフォルトでは、固定IPアドレスがインスタンスに割り当てられますが、ネットワーク外部（または他のデータセンター）からインスタンスがすぐに利用できることを保証するものではありません。次のシナリオを想像してください。

1つのwwwサーバー、データベースサーバー、およびネットワークアドレス変換（NAT）とトラフィックフィルタリングを実行するファイアウォールを備えた小さなWebサイトを実行します。通常、次の設定を適用します。

-すべてのサーバーは、プライベート（ルーティング不可）ネットワーク範囲内のネットワーク内で通信します（たとえば、192.168.0.0 / 24）。

-wwwサーバーが表示される1つのパブリックルーティング可能なIP範囲があります。

次のことを行います。

-ファイアウォールにパブリックIPアドレスを割り当てます。

-ファイアウォールでNATルールを作成して、トラフィックをパブリックIPアドレスからwwwサーバーのプライベートIPアドレスにルーティングします。

OpenStackの固定IPアドレスは、上記の例の192.168.0.0/24ネットワーク範囲と同じように機能します。同じOpenStackクラスター内のインスタンス間の相互作用のみを保証します。ただし、OpenStackは「フローティングIP」と呼ばれるIPアドレスの別のプールも導入します。フローティングIPアドレスは、インターネットサービスプロバイダー（上記のファイアウォールに適合するもの）から購入するパブリックにルーティング可能なIPアドレスです。ユーザーはIPアドレスをインスタンスに割り当て、外部ネットワークからアクセスできるようにすることができます。

フローティングIPと固定IPの違い

デフォルトでは、フローティングIPアドレスは仮想マシンに割り当てられません。クラウドユーザーは、OpenStack管理者が設定したプールから明示的に「取得」し、仮想マシンに割り当てる必要があります。ユーザーがプールからフローティングIPアドレスを取得するとすぐに、その「所有者」になります（つまり、いつでも仮想マシンからIPアドレスを切り離して別の仮想マシンに接続できます）。何らかの理由で仮想マシンが存在しなくなった場合、ユーザーはフローティングIPアドレスを失うことはありません。ユーザーはそれを別のインスタンスに割り当てることができます。残念ながら、複数の仮想マシン間で単一のフローティングIPアドレスを共有して、Amazon EC2のエラスティックロードバランシングなどのロードバランシングを行うことは現在不可能です。

一方、固定IPアドレスは、VMの起動時にnova-networkコンポーネントによって動的に割り当てられます。 OpenStackに特定の固定IPアドレスを仮想マシンに割り当てるように指示する方法はありません。したがって、スナップショットから復元された後、仮想マシンが誤ってシャットダウンし、新しいインスタンスに新しい固定IPアドレスが読み込まれる状況に陥ることがあります。

システム管理者は、フローティングIPアドレスの複数のプールを構成できます。ただし、固定IPプールとは異なり、フローティングIPプールを特定のユーザーに割り当てることはできません。各ユーザーは、フローティングIPアドレスのプールからフローティングIPアドレスを「取得」できます。しかし、フローティングIPの複数のプールを作成する主な動機は、各プールがそのインターネットアクセスプロバイダーにサービスを提供することです。したがって、サプライヤの1つが故障しても、接続できることを保証できます。

要約すると、フローティングIPの基本的な機能は次のとおりです。

-フローティングIPアドレスは、デフォルトでは仮想マシンに自動的に割り当てられません（手動でインスタンスに割り当てる必要があります）。

-仮想マシンが存在しなくなった場合、ユーザーは別のインスタンスに割り当てることにより、フローティングIPアドレスを再利用できます。

-ユーザーは、クラウド管理者によって定義されたさまざまなプールからフローティングIPアドレスを取得して、さまざまなインターネットサービスプロバイダーまたは外部ネットワークから仮想マシンに接続する機能を提供できます。

フローティングIP —内部または外部のクラウド

フローティングIPアドレスの「パブリックアベイラビリティ」は相対的な概念です。パブリッククラウドの場合、インターネットからパブリックにアクセス可能なIPアドレスのプールとして、フローティングIPアドレスのプールを定義することができます。次に、クライアントはそれらを仮想マシンに割り当てて、自宅または職場のコンピューターからSSH経由でアクセスできます。

データセンターで企業クラウドを実行している場合、フローティングIPアドレスのプールは、データセンターの残りからOpenStackインスタンスへのアクセスを提供する任意の範囲のIPアドレスにすることができます。

データセンターのトラフィックに対して、次の範囲を定義できます：10.0.0.0/16。

OpenStack内では、次の範囲の固定IPアドレスを作成できます：192.168.0.0/16、ユーザーサブネットに分割。

データセンター全体からOpenStackインスタンスにアクセスできるようにするには、フローティングIPアドレスのプールを10.0.0.0/8サブネット（たとえば10.0.0.0/16）として定義し、ユーザーがそこからIPアドレスを取得できるようにOpenStackに登録します。

フローティングIPを使用する

前に述べたように、システム管理者は最初にフローティングIPのプールをOpenStackに登録します。

nova-manage floating create --ip_range=PUBLICLY_ROUTABLE_IP_RANGE --pool POOL_NAME

したがって、パブリックプールはユーザーが使用できるようになります。

現在、ユーザーは次の手順に従います。

-インスタンスのダウンロード：

+ -------------------------------------- + --------- + -------- + -------------------------------- +

| ID | 名前| ステータス| ネットワーク|

+ -------------------------------------- + --------- + -------- + -------------------------------- +

| 79935433-241a-4268-8aea-5570d74fcf42 | inst1 | アクティブ| プライベート= 10.0.0.4 |

+ -------------------------------------- + --------- + -------- + -------------------------------- +

-フローティングIPアドレスの利用可能なプールを一覧表示します。

nova floating-ip-pool-list

+ ------ +

| 名前|

+ ------ +

| パブ|

| テスト|

+ ------ +

-プール「pub」から（または、必要に応じてプール「test」から）フローティングIPアドレスを取得します。

nova floating-ip-createパブ

+ --------------- + ------------- + ---------- + ------ +

| IP | インスタンスID | 固定IP | プール|

+ --------------- + ------------- + ---------- + ------ +

| 172.24.4.225 | なし| なし| パブ|

+ --------------- + ------------- + ---------- + ------ +

-フローティングIPアドレスをインスタンスに割り当てます：

nova add-floating-ip 79935433-241a-4268-8aea-5570d74fcf42 172.24.4.225

（最初の引数はインスタンスのuuidで、2番目は浮動IPアドレス自体です）

-すべての設定が正しいことを確認します。

novaフローティングIPリスト

+ -------------- + ---------------------------------- ---- + ---------- + ------ +

| IP | インスタンスID | 固定IP | プール|

+ -------------- + ---------------------------------- ---- + ---------- + ------ +

| 172.24.4.225 | 79935433-241a-4268-8aea-5570d74fcf42 | 10.0.0.4 | パブ|

+ -------------- + ---------------------------------- ---- + ---------- + ------ +

これで、インスタンスはフローティングIPアドレスによってOpenStackクラスターの外部から見えるはずです。

フローティングIPの仕組み

フローティングIPを追加した後、インスタンス内で何が起こりますか？正解は何もありません。 SSH経由で接続し、ネットワーク構成を見ると、固定の固定IPアドレスを持つネットワークインターフェイスが1つあることがわかります。

すべての構成はコンピューティングノードで実行されます。フローティングIPアドレスに関連するすべての作業は、nova-networkサービスによって実行されます。ネットワークアドレス変換（NAT）は、インスタンスの固定IPアドレスとフローティングIPアドレスの間で編成されます。ここで NATがどう働くかに関する説明を見つけることができます。

次のチャートをご覧ください。

このスキームは、ネットワークモードで構成された1つのコンピューティングノードと、固定IPネットワークの構成に使用されるノードとVlanManagerを表示します。コンピューティングノードには2つのネットワークインターフェイスが装備されています。eth0インターフェイスは固定IP / VLANのトラフィックに割り当てられ、eth1はコンピューティングノードが外部ネットワークに接続されるインターフェイスです。フローティングIPがあります。（VlanManagerが固定IPネットワークを構成する方法については、前の記事を参照してください）

アドレスがeth0インターフェイス（固定/プライベート）で構成されていない間、eth1インターフェイスには、計算ノード（91.207.15.105）のデフォルトゲートウェイであるIPアドレスが割り当てられていることに注意してください。

ユーザーがフローティングIPアドレス（91.207.16.144）をVM_1に割り当てると、次の2つのことが起こります。

-フローティングIPアドレスは、eth1インターフェイスのセカンダリアドレスとして構成されます。これは、「ip addr show eth1」コマンドの出力で、次の手順が含まれます。

inet 91.207.15.105/24スコープグローバルeth1＃プライマリeth1 ip

inet 91.207.16.144/32スコープグローバルeth1＃VM_1のフローティングIP

-フローティングIPアドレスのNATルールセットは、iptablesテーブルで構成されます。以下は、計算ノードのnatテーブルのすべての関連エントリです（iptables –S -t natコマンドを除く。Linuxでiptablesを使用してNATを構成する方法の詳細については、こちらを参照してください）。

＃このルールは、計算ノードから発信されたパケットを保証します

＃インスタンスが存在する場所は、フローティングIPを介してインスタンスに到達します。

-A nova-network-OUTPUT -d 91.207.16.144/32 -j DNAT --to-destination 10.0.0.3

＃フローティングIPへのすべての外部トラフィックを保証

＃はインスタンスの固定IPに向けられます

-A nova-network-PREROUTING -d 91.207.16.144/32 -j DNAT --to-destination 10.0.0.3

＃インスタンスから発信されるすべてのトラフィックは、フローティングIPにSNATされます

-A nova-network-float-snat -s 10.0.0.3/32 -j SNAT --to-source 91.207.16.144

一般に、nova-networkは、NATテーブルで事前定義されているチェーンに追加のチェーンを追加します。フローティングIPアドレスによるトラフィックに関連するチェーンの順序を以下に示します（上記の規則を使用）。

チェーン出力-チェーンnova-network-OUTPUT-ルール：-d 91.207.16.144/32 -j DNAT --to-destination 10.0.0.3

チェーンPREROUTING-チェーンnova-network-PREROUTING-ルール：-d 91.207.16.144/32 -j DNAT --to-destination 10.0.0.3

チェーンPOSTROUTING-チェーンnova-postrouting-bottom-チェーンnova-network-snat-チェーンnova-network-float-snat-ルール：-s 10.0.0.3/32 -j SNAT --to-source 91.207.16.144

-ルールを設定するコードは、関数のnova / network / linux_net.pyにあります。

def floating_forward_rules（floating_ip、fixed_ip）：

return [（ 'PREROUTING'、 '-d％s -j DNAT --to％s'％（floating_ip、fixed_ip））、

（ 'OUTPUT'、 '-d％s -j DNAT --to％s'％（floating_ip、fixed_ip））、

（「float-snat」、

'-s％s -j SNAT --to％s'％（fixed_ip、floating_ip））]

チャートに戻ります。ユーザーが外部ネットワークからIPアドレスで仮想マシンにアクセスする場合（たとえば、「ping 91.20.16.144」）：

トラフィックは、計算ノードのパブリックインターフェイス（eth1）に到達します。 nova-network-PREROUTINGでは、パケットの宛先IPアドレスを91.207.16.144から10.0.0.3に変更するDNATが実行されます。

-コンピューティングノードはルーティングテーブルにアクセスし、ネットワーク10.0.0.0がbr100インターフェイスで利用可能であることを確認します（コンピューティングノードの「ip route show」を除く）。

10.0.0.0/24 dev br100

このようにして、パケットをbr100インターフェイスに送信し、パケットは仮想マシンに到達します。

仮想マシンが外部にパケットを送信する場合（たとえば、「ping 8.8.8.8」）：

-宛先アドレスは仮想マシンのローカルネットワークにないため、パケットはIPアドレス10.0.0.1で仮想マシンのデフォルトゲートウェイに送信されます（コンピューティングノードのデバイスアドレスは「br100」です）。

-コンピューティングノードはルーティングテーブルをチェックし、直接接続されたネットワーク上に8.8.8.8アドレスがないことを検出するため、パケットをデフォルトゲートウェイ（この場合はeth1のプライマリアドレス-91.207.15.105）に転送します。

-パケットはPOSTROUTINGチェーンに分類され、「nova-network-float-snat」チェーンに送信され、そこで元のIPアドレスがフローティングIPアドレス（91.207.16.144）に書き換えられます。

安全上の注意

OpenStackを使用する場合、システム管理者はiptablesテーブルのフルコントロールをnovaサービスに委任します。カスタムルールのセットは非常に複雑で、外部の干渉によって簡単に破られます。さらに、nova-networkデーモンが再起動されるたびに、OpenStackに関連付けられたiptablesテーブルチェーンのすべてのルールが適用されます。 iptablesテーブルの動作を何らかの方法で変更する必要がある場合は、適切な場所linux_net.pyのコードを変更することで実行できます（NATルールの場合、これらはfloating_forward_rulesになります）。

また、nova-networkはテーブルを追跡しません。したがって、OpenStackに関連付けられたチェーンからルールを手動で削除した場合、次にnova-networkを起動したときにルールは復元されません。

したがって、システム管理者はコンピューティングノードへの不要なアクセスを誤って簡単に開くことができます。 nova-networkはeth1にセカンダリとしてフローティングIPアドレスを配置し、仮想マシンの固定IPアドレスにトラフィックを誘導するDNATルールを設定したことを思い出してください。

-A nova-network-PREROUTING -d 91.207.16.144/32 -j DNAT --to-destination 10.0.0.3

したがって、91.207.16.144に向けられたすべてのトラフィックは、アドレス10.0.0.3に到達します。

ここで、システム管理者が次のように入力して、夜間にネットワークに接続する問題を解決し、誤ってすべてのNATルールを削除したとします。

iptables –F –t nat

上記のNATルールは削除されましたが、セカンダリIPアドレス91.207.16.144はまだeth1に割り当てられています。したがって、外部からアドレス91.207.16.144にアクセスできますが、仮想マシンにアクセスする代わりに、計算ノード自体にアクセスできます（削除したため、宛先IPアドレスはDNATルールに従って変換されなくなりました）すべてのNATルール）。このセキュリティホールは、ルールを再作成するnova-networkプロセスの次の再起動まで閉じられません。

フローティングIPを構成する

nova.confサービスには、フローティングIPアドレスの動作に影響するフラグがあります。

＃フローティングIPが接続されているインターフェース

＃セカンダリアドレスとして

public_interface = "eth1"

＃デフォルトでフローティングIPが取得されるプール

default_floating_pool = "pub"

＃生成されたすべてのインスタンスに自動的にフローティングIPを追加できます

auto_assign_floating_ip = false

概要コメント

インターネットから直接仮想マシンへのアクセスを提供することに加えて、フローティングIPメカニズムはクラウドユーザーにある程度の柔軟性を与えます。フローティングIPアドレスを「ピックアップ」した後、所有者を変更できます。つまり、外出先でさまざまな仮想マシンに割り当てて再割り当てすることができます。これにより、新しいコードとシステムアップデートのリリースが大幅に容易になります。基本的なメカニズム（iptables）は非常に複雑であり、OpenStackによって監視されないため、システム管理者にとって、これは潜在的なセキュリティリスクをもたらします。したがって、ファイアウォールポリシーを変更できるのはOpenStackソフトウェアのみであり、手動で変更しないことが重要です。

英語のオリジナル記事

パブリックおよびプライベートOpenStackクラウドでのネットワーキング用のフローティングIPアドレス