Community Edition 83 - Linux Magazine Online

More documents

Recommendations

Info

ANÁLISE | Chaveamento virtual com Open vSwitchListagem 1: Confi guração01 ovsdb-server /usr/local/etc/ovs-vswitchd.conf.db \02 --remote=punix:/usr/local/var/run/openvswitch/db.sock \03 --remote=db:Open_vSwitch,managers \04 --private-key=db:SSL,private_key \05 --certificate=db:SSL,certificate \06 --bootstrap-ca-cert=db:SSL,ca_certListagem 2: Gestão da bridge01 [root@kvm1~]# brctl show02 bridge name bridge id STP enabled interfaces03 extern0 0000.00304879668c no eth004 vnet005 [root@kvm1~]# ovs-vsctl list-ports extern006 eth007 vnet0Listagem 3: Medidas de desempenho01 ## Server:02 ## iperf -s03 ## Client:04 # iperf -c 192.168.0.5 -t 6005 --------------------------------------------------------06 Client connecting to 192.168.0.5, TCP port 500107 TCP window size: 16.0 KByte (default)08 --------------------------------------------------------09 [ 3] local 192.168.0.210 port 60654 connected with192.168.0.5 port 500110 [ID] Interval Transfer Bandwidth11 [ 3] 0.0-60.0 sec 5.80 GBytes 830 Mbits/secQuadro 2: InstalaçãoDepois de descompactar o código fonte, você precisará compilar e instalar oOpen vSwitch usando os comandos usuais:./configure --with-l26=/lib/modules/$(uname -r)/buildmakesudo make installVocê precisará dos kernel headers (cabeçalhos de kernel) para compilar omódulo do kernel. Em distribuições recentes você encontrará, tipicamente,os cabeçalhos de kernel em um pacote chamado kernel-devel ou algosimilar. Depois de compilar, você deve verifi car a instalação e executar oprograma pela primeira vez. Para fazer isso carregue manualmente o módulodo kernel.modprobe datapath/linux-2.6/ openvswitch_mod.koCaso este comando falhe, você provavelmente precisará descarregar o módulobridge: rmmod bridge .A versão do módulo para o kernel pode não corresponder a seu kernel atual,o que pode ser um problema caso você use pacotes prontos. Neste caso,será necessário recompilar o módulo. Após fazer isto você pode inicializar abase de dados de confi guração do Open vSwitch:ovsdb-tool create /usr/local/etc/ovs-vswitchd.conf.dbvswitchd/vswitch.ovsschemaEm caso de problemas, o arquivo INSTALL.Linux fornece dicas para asua solução.5000 da máquina com o endereço192.168.0.5, agora poderá visualizaro arquivo ( figura 1 ). Os parâmetrosde configuração podem ser gerenciadoscom o uso dos comandosovs-vsctl list bridge e ovs-vsctllist netflow e removidos com ovs--vsctl destroy .QoSEm muitos casos os administradoresprecisam restringir a largura debanda para usuários virtuais individuais,particularmente quandoclientes diversos usam o mesmoambiente virtual. Usuários diferentesrecebem o desempenho pelo qualpagam com base em Contratos deNível de Serviço (SLA).O Open vSwitch dá aos administradoresuma opção bastante simplespara restringir o desempenhomáximo de transmissão de dadospara usuários individuais. Para testaristo, você deve primeiro mediro tráfego normal. A ferramentaiperf é útil para este fim. Você podeexecutar o iperf como servidor emum sistema e como cliente em umusuário virtual ( listagem 3 ).Você pode, agora, restringir o desempenhodo envio. Observe que ocomando espera que você digite odesempenho do envio em kilobitspor segundo (kbps). Além do desempenhode envio, você precisaespecificar a velocidade de rajada( burst speed ), que deve ser cerca deum décimo do desempenho de envio.A interface vnet0 , neste caso, é aporta do switch na qual o convidadovirtual está conectado.# ovs-vsctl set Interface vnet0ingress_policing_rate=1000# ovs-vsctl set Interface vnet0ingress_policing_burst=100Você pode testar os resultadoscom iperf ( figura 2 ).Caso você tenha familiaridadecom o comando tc e o QoS baseadoem classes no Linux, com váriasdisciplinas de enfileiramento50 www.linuxmagazine.com.br
Chaveamento virtual com Open vSwitch | ANÁLISE( queuing ), você pode usar esta ferramentaem conjunto com o OpenvSwitch. A página de man fornecevários exemplos.EspelhamentoPara executar um sistema de detecçãode intrusão você precisa de umaporta espelhada no switch. Mais umavez, o Open vSwitch oferece estaopção. Para usá-la você necessita,inicialmente, criar a porta espelhadae então adicioná-la ao switch correto.Para criar uma porta espelhada querecebe o tráfego de todas as outrasportas e as espelhe na vnet0 , use oseguinte comando:ovs-vsctl create mirrorname=mirror select_all=1output_port= e46e7d4a-2316-407f- ab11-4d248cd8fa94O comando :ovs-vsctl list port vnet0revela o ID da porta de saída quevocê precisa. O comando :# ovs-vsctl add bridge extern0mirrors 716462a4-8aac-4b9caa20-a0844d86f9efadiciona a porta espelhada ao bridge.VLANsVocê também pode implementarVLANs com o Open vSwitch e temduas opções para fazê-lo. Cada OpenvSwitch tem a capacidade de implementarVLAN: se você adicionaruma porta ao switch virtual, ela já éuma porta de entroncamento VLANque fornece o transporte identificado(tagged) para todas as VLANs.Para criar uma porta de acesso quetenha suporte nativo a VLAN, semidentificação, digite:ovs-vsctl add-port extern0vnet1 tag=1Figura 2 Uso do iperf para verificar as restrições de desempenhode transmissão.O comando brctl não permite quevocê crie, diretamente, este tipo deporta. Você precisará de uma bridgefalsa como solução alternativa.O Open vSwitch suporta bridgesfalsas com as quais você pode, designarVLANs. Cada porta em umabridge falsa passa a ser uma porta deacesso na VLAN. Para implementaristo você deve, primeiramente,criar uma bridge falsa como filhade uma bridge mãe:# ovs-vsctl add-br VLAN1 extern0 1A nova bridge falsa responde,agora, pelo nome de VLAN1 e transportaa VLAN com a identificação1 . Você precisa habilitá-la e dar-lheum endereço IP:# ifconfig VLAN1 192.168.1.1 upCada porta que você criar nestabridge é uma porta de acesso para aVLAN 1, o que significa que você pode,novamente usar o comando brctl .O Open vSwitch pode tambémcriar um túnel GRE entre múltiplossistemas e executar um entroncamentoVLAN entre eles. Destaforma você pode mover máquinasvirtuais para outros hosts fora daLAN. A comunicação se dá atravésdo túnel GRE.O Open vSwitch também agregaportas. Os desenvolvedoresdo kernel Linux chamam isto debundling ; já a Cisco chama istode EtherChannel. Esta agregaçãopermite que o administrador combinemúltiplas portas físicas emuma única porta lógica que podeentão ser usada para balanceamentode carga e alta disponibilidade.O Open vSwitch é um projetointeressante que está, atualmente,prejudicado pela falta de popularidadee documentação. Espero queas grandes distribuições decidam incorporaro projeto e integrá-lo nativamenteem suas próprias ferramentas,como a Libvirt. Este recurso removeriaa necessidade de usar o serviço decompatibilidade de bridge. ■Mais informações[1] Open vSwitch: http://www.openvswitch.org/[2] OpenFlow: http://www.openflow.org/[3] Open vSwitch RPM:http://www.spenneberg.org/Openvswitch/[4] OpenFlow switches: http://openflow.foswiki/bin/view/org/bin/OpenFlow/Deployment/ComponentsGostou do artigo?Queremos ouvir sua opinião.Fale conosco emcartas@linuxmagazine.com.brrEste artigo no nosso site:http://lnm.com.br/article/5875Linux Magazine #83 | Outubro de 201151
Page 2 and 3: Expediente editorialDiretor GeralRa
Page 4: Linux Magazine 83 | ÍNDICECOLUNASK
Page 7 and 8: Matéria | SEÇÃO20 anos de Linuxi
Page 9: Chaveamento virtual com Open vSwitc
Page 13 and 14: Análise de vulnerabilidades com Op
Page 21 and 22: Segurança com IPv6 | SEGURANÇAO p
Page 23 and 24: Segurança com IPv6 | SEGURANÇAum
Page 25 and 26: VMware Server 2.0 | REDESVMware Ser
Page 27 and 28: VMware Server 2.0 | REDESFigura 2 P

Community Edition 83 - Linux Magazine Online

Create successful ePaper yourself

Delete template?

Save as template?