Los geht's
Überlegungen und Empfehlungen zum Klonen von MAC-Adressen
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
Installation und Upgrade von Software
-
Installation und Wartung von Hardware
-
SG5700 Storage-Appliances
-
SG5600 Storage Appliances
-
-
Konfiguration und Management
-
StorageGRID verwalten
-
-
Verwenden Sie StorageGRID
-
Verwenden Sie ein Mandantenkonto
-
-
Monitoring und Fehlerbehebung
-
Überwachen Sie ein StorageGRID System
-
-
Wartung
-
Halten Sie Recoverys ein
-
Verfahren zur Recovery von Grid-Nodes
-
Wiederherstellung nach Storage-Node-Ausfällen
-
-
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Das Klonen VON MAC-Adressen führt dazu, dass der Docker-Container die MAC-Adresse des Hosts verwendet und der Host die MAC-Adresse entweder einer von Ihnen angegebenen oder einer zufällig generierten Adresse verwendet. Verwenden Sie das Klonen von MAC-Adressen, um Netzwerkkonfigurationen im einfach zu vermeiden.
Aktivieren des MAC-Klonens
In bestimmten Umgebungen kann die Sicherheit durch das Klonen von MAC-Adressen erhöht werden, da es Ihnen ermöglicht, eine dedizierte virtuelle NIC für das Admin-Netzwerk, das Grid-Netzwerk und das Client-Netzwerk zu verwenden. Wenn der Docker Container die MAC-Adresse der dedizierten NIC auf dem Host nutzen soll, können Sie keine Kompromissmodus-Netzwerkkonfigurationen verwenden.
|
Das Klonen DER MAC-Adresse wurde für Installationen virtueller Server entwickelt und funktioniert möglicherweise nicht ordnungsgemäß bei allen Konfigurationen der physischen Appliance. |
|
Wenn ein Knoten nicht gestartet werden kann, weil eine gezielte Schnittstelle für das MAC-Klonen belegt ist, müssen Sie die Verbindung möglicherweise auf „down“ setzen, bevor Sie den Knoten starten. Darüber hinaus kann es vorkommen, dass die virtuelle Umgebung das Klonen von MAC auf einer Netzwerkschnittstelle verhindert, während der Link aktiv ist. Wenn ein Knoten die MAC-Adresse nicht einstellt und aufgrund einer überlasteten Schnittstelle gestartet wird, kann das Problem durch Setzen des Links auf „down“ vor dem Starten des Knotens behoben werden. |
Das Klonen VON MAC-Adressen ist standardmäßig deaktiviert und muss durch Knoten-Konfigurationsschlüssel festgelegt werden. Sie sollten die Aktivierung bei der Installation von StorageGRID aktivieren.
Für jedes Netzwerk gibt es einen Schlüssel:
-
ADMIN_NETWORK_TARGET_TYPE_INTERFACE_CLONE_MAC -
GRID_NETWORK_TARGET_TYPE_INTERFACE_CLONE_MAC -
CLIENT_NETWORK_TARGET_TYPE_INTERFACE_CLONE_MAC
Wenn Sie den Schlüssel auf „true“ setzen, verwendet der Docker Container die MAC-Adresse der NIC des Hosts. Außerdem verwendet der Host dann die MAC-Adresse des angegebenen Containernetzwerks. Standardmäßig ist die Container-Adresse eine zufällig generierte Adresse, jedoch wenn Sie mithilfe des eine Adresse festgelegt haben _NETWORK_MAC Der Node-Konfigurationsschlüssel, diese Adresse wird stattdessen verwendet. Host und Container haben immer unterschiedliche MAC-Adressen.
|
|
Wenn das MAC-Klonen auf einem virtuellen Host aktiviert wird, ohne dass gleichzeitig der einfach austauschbare Modus auf dem Hypervisor aktiviert werden muss, kann dies dazu führen, dass Linux-Host-Netzwerke, die die Host-Schnittstelle verwenden, nicht mehr funktionieren. |
Anwendungsfälle für DAS Klonen VON MAC
Es gibt zwei Anwendungsfälle, die beim Klonen von MAC berücksichtigt werden müssen:
-
MAC-Klonen nicht aktiviert: Wenn der
_CLONE_MACDer Schlüssel in der Node-Konfigurationsdatei ist nicht festgelegt oder auf „false“ gesetzt. Der Host verwendet die Host-NIC-MAC und der Container verfügt über eine von StorageGRID generierte MAC, sofern im keine MAC angegeben ist_NETWORK_MACTaste. Wenn im eine Adresse festgelegt ist_NETWORK_MACSchlüssel, der Container wird die Adresse im angegeben_NETWORK_MACTaste. Diese Schlüsselkonfiguration erfordert den Einsatz des promiskuitiven Modus. -
MAC-Klonen aktiviert: Wenn der
_CLONE_MACSchlüssel in der Node-Konfigurationsdatei ist auf „true“ gesetzt, der Container verwendet die Host-NIC MAC und der Host verwendet eine von StorageGRID generierte MAC, es sei denn, eine MAC wird im angegeben_NETWORK_MACTaste. Wenn im eine Adresse festgelegt ist_NETWORK_MACSchlüssel, der Host verwendet die angegebene Adresse anstelle einer generierten. In dieser Konfiguration von Schlüsseln sollten Sie nicht den promiskuous Modus verwenden.
|
|
Wenn Sie kein Klonen der MAC-Adresse verwenden möchten und lieber alle Schnittstellen Daten für andere MAC-Adressen als die vom Hypervisor zugewiesenen empfangen und übertragen möchten, Stellen Sie sicher, dass die Sicherheitseigenschaften auf der Ebene der virtuellen Switch- und Portgruppen auf Accept für den Promiscuous-Modus, MAC-Adressänderungen und Forged-Übertragungen eingestellt sind. Die auf dem virtuellen Switch eingestellten Werte können von den Werten auf der Portgruppenebene außer Kraft gesetzt werden. Stellen Sie also sicher, dass die Einstellungen an beiden Stellen identisch sind. |
Informationen zum Aktivieren des MAC-Klonens finden Sie im "Anweisungen zum Erstellen von Node-Konfigurationsdateien".
BEISPIEL FÜR DAS Klonen VON MAC
Beispiel für das MAC-Klonen bei einem Host mit einer MAC-Adresse von 11:22:33:44:55:66 für die Schnittstelle ensens256 und die folgenden Schlüssel in der Node-Konfigurationsdatei:
-
ADMIN_NETWORK_TARGET = ens256 -
ADMIN_NETWORK_MAC = b2:9c:02:c2:27:10 -
ADMIN_NETWORK_TARGET_TYPE_INTERFACE_CLONE_MAC = true
Ergebnis: Der Host-MAC für ens256 ist b2:9c:02:c2:27:10 und die Admin-Netzwerk-MAC ist 11:22:33:44:55:66