xe vif-param-add uuid=<vif-uuid> ipv4-allowed=<comma separated list of ipv4-addresses>
• IPv6 IPアドレスを指定します。次に例を⽰します。
xe vif-param-add uuid=<vif-uuid> ipv6-allowed=<comma separated list of ipv6-addresses>
VIFで許可するIPアドレスの⼀覧から特定のIPアドレスを削除するには
許可するIPアドレスとして複数のアドレスが指定されている場合は、特定のIPアドレスを削除して、
そのアドレスのトラフィックをドロップできます。
•
vif-param-removeコマンドに以下のパラメータを使⽤して、削除するIPアドレスを指定しま
す。必要に応じて、以下のいずれかまたは両⽅を⾏います。• IPv4 IPアドレスを削除します。次に例を⽰します。
xe vif-param-remove uuid=<vif-uuid> ipv4-allowed=<comma separated list of ipv4-addresses>
• IPv6 IPアドレスを削除します。次に例を⽰します。
xe vif-param-remove uuid=<vif-uuid> ipv6-allowed=<comma separated list of ipv6-addresses>
4.4.10.9.8. 仮想マシンが特定のネットワークでトラフィックを送信したり受信したりできな くする
ここでは、仮想マシンで特定のVIFを介した送受信を禁⽌します。VIFは特定のXenServerネット ワークに接続するため、この⼿順を使⽤して仮想マシンが特定のネットワークを介して通信できない ように設定できます。これにより、ネットワーク全体を無効にしなくても、トラフィックの送受信を 詳細に制御できるようになります。
CLIコマンドを使⽤する場合、VIFの接続を解除しなくてもそのVIFのロックモードを設定できます。
このコマンドでは、実⾏中のVIFのフィルタ規則を変更できます。ネットワーク接続は許可されてい るように表⽰されますが、仮想マシンから送信されるパケットはVIFですべてドロップされます。
xe vif-param-set uuid=<vif_uuid> locking-mode=unlocked 4.4.10.9.10. クラウド環境でVIFのロックモードを簡単に設定する
クラウド環境では、各VIFに対してロックモードコマンドを個別に実⾏せずに、すべてのVIFがデ フォルトでdisabledになるように設定できます。これを⾏うには、ネットワークレベルでパケットの フィルタ規則を変更します。これにより、XenServerで説明したように、パケットがどのようにフィ ルタされるかが項4.4.10.9.5. 「スイッチポートロック機能のしくみ」ネットワークにより決定され るようになります。
ネットワークのdefault-locking-modeパラメータにより、新しく作成するVIFのデフォルトの動 作が決定されます。VIFのlocking-modeが
network_default
の場合、ネットワークレベルのロッ クモード(default-locking-mode)が参照され、その設定によりVIFでパケットの通過を禁⽌す るか許可するかが決定されます。•
unlocked︓ネットワークの
default-locking-modeパラメータがunlocked
の場合、XenServerによってそのネットワークが接続するVIFですべてのトラフィックが許可されま す。
•
Disabled︓ネットワークの default-locking-mode
パラメータがdisabled
の場合、XenServerによってそのネットワークが接続するVIFですべてのトラフィックをドロップする フィルタ規則が適⽤されます。
XenCenterやCLIで作成するネットワークのdefault-locking-modeパラメータには、デフォルト で
unlocked
が設定されます。VIFのロックモードをデフォルト(network_default)のままにしておくことで、ネットワークの default-locking-modeパラメーターでそのネットワークに接続するすべてのVIFのフィルタ規則を制 御できます。
次の図は、各VIFのlocking-modeパラメーターがデフォルト値(network_default)の場合に、
ネットワークのdefault-locking-modeパラメーターの設定がすべてのVIFに適⽤されることを⽰
しています。
この図は、デフォルトのロックモード設定の各VIFに、ネットワークのdefault-locking-mode設定が適⽤されることを⽰しています。この例では、ネット ワークの設定(default-locking-mode=disabled)が各VIFに適⽤される ため、すべてのトラフィックがこれらのVIFを通過できなくなっています。
新しく作成されるVIFのlocking-modeは
network_default
に設定されるため、ネットワーク のdefault-locking-mode=disabled
設定が各VIFに適⽤されます。この設定を特定のVIFで変更 するには、そのVIFのlocking-modeパラメータを明⽰的に設定します。たとえば、信頼できる仮想 マシンがあり、そのトラフィックを制限したくない場合は、その仮想マシンのVIFの locking-modeパラメータをunlocked
に設定します。ネットワークのデフォルトのロックモード設定を変更するには
• ネットワークを作成した後で、次のコマンドを実⾏してデフォルトのロックモードを変更しま す。
xe network-param-set uuid=<network-uuid> default-locking-mode=[unlocked|disabled]
注︓
ネットワークのUUIDを確認するには、network-listコマンドを実⾏します。これ により、そのホスト上のすべてのネットワークのUUIDが表⽰されます。
ネットワークのデフォルトのロックモード設定を確認するには
• 以下のいずれかのコマンドを実⾏します。
xe network-param-get uuid=<network-uuid> param-name=default-locking-mode または
xe network-list uuid=<network-uuid> params=default-locking-mode 4.4.10.9.11. ネットワーク設定を使⽤してVIFトラフィックのフィルタを解除する
XenServerネットワークのdefault-locking-mode設定に基づいて、そのネットワークに接続する 仮想マシン上のVIFのフィルタ規則を制御するには、以下の⼿順に従います。
ネットワーク設定を使⽤してVIFトラフィックのフィルタを解除するには
1. VIFのロックモードがnetwork_defaultに設定されていない場合は、次のコマンドを実⾏しま す。
xe vif-param-set uuid=<vif_uuid> locking-mode=network_default
2. ネットワークのロックモードがunlockedに設定されていない場合は、次のコマンドを実⾏しま す。
xe network-param-set uuid=<network-uuid> default-locking-mode=unlocked
4.5. ネットワークのトラブルシューティング
ネットワーク設定に問題が⽣じた場合は、まずコントロールドメインの
ifcfg-*
ファイルを直接変 更していないことを確認します。これらのファイルは、コントロールドメインのホストエージェント により管理され、変更内容は上書きされます。4.5.1. ネットワーク障害を診断する
⼀部のモデルのネットワークカードでは、ベンダからのファームウェアアップデートを適⽤しない と、特定の最適化機能を有効にした状態や過負荷状態で正しく動作しない場合があります。仮想マシ ンへのトラフィックが破損する場合は、まずベンダから最新のファームウェアアップデートが⼊⼿可 能かどうか、BIOSをアップデートする必要があるかどうかを確認してください。
ネットワークの問題が解決されない場合は、CLIを使⽤して物理インターフェイスの受信/送信オフ ロード最適化機能を無効にします。
警告︓
受信/送信オフロード最適化機能を無効にすると、パフォーマンスが低下したり CPU使⽤率が増加したりすることがあります。
まず、その物理インターフェイスのUUIDを確認します。このとき、次のように、deviceパラメー タでデバイスを指定できます。
xe pif-list device=eth0
次に、そのPIFに対して次のパラメータを指定して、TXオフロード機能を無効にします。
xe pif-param-set uuid=<pif_uuid> other-config:ethtool-tx=off
最後に、変更を有効にするために、PIFを再プラグするかホストを再起動します。
4.5.2. 緊急時のネットワークリセット
ネットワークの設定に不備があると、ネットワークが切断されたり、XenCenterやリモートのSSHを 使ってXenServerホストにアクセスできなくなったりします。このような問題が発⽣した場合は、緊 急時のネットワークリセット機能を使⽤して、ホストのネットワークを簡単に復元およびリセットで きます。
この機能は、コマンドラインインターフェイス(CLI)の
xe-reset-networking
コマンド や、xsconsoleの[Network and Management Interface]セクションで実⾏できます。ネットワークが切断される主な原因として、ネットワークインターフェイスの名前を変更したり、ボ ンディングやVLANを作成したり、管理インターフェイスを変更したりするときの設定ミスが挙げら れます。また、プールのローリングアップグレード、⼿作業でのアップグレード、Hotfixやドライバ のインストール時に接続が切断された場合、またはプールマスタやメンバホストがプール内のほかの ホストと通信できなくなった場合に、緊急時のネットワークリセット機能を使⽤できます。
ただし、この機能を使⽤するのは緊急時のみにしてください。この機能により、そのホストのすべて のPIF、ボンディング、VLAN、およびトンネル設定が削除されます。仮想マシンのネットワークや VIFは削除されません。この機能を実⾏すると、実⾏中の仮想マシンが強制的にシャットダウンされ ます。このため、可能な場合は仮想マシンを正しくシャットダウンしておいてください。ネットワー クをリセットする前に、管理ネットワークのIP設定(DHCPまたは固定アドレス)を変更できます。
プールマスタでのネットワークリセットが必要な場合は、ほかのプールメンバよりも先にプールマス タをリセットしてください。その後で、すべてのプールメンバのネットワークをリセットして、プー ルのネットワーク設定を統⼀します。これは、XenMotionが正しく動作するためにも重要です。
注︓
ネットワークリセットや
xe host-management-reconfigure
によりプールマス タのIPアドレス(管理インターフェイス)が変更された場合は、そのプール内のす べてのホストでもネットワークリセットを実⾏する必要があります。これにより、新しいIPアドレスでプールマスタに接続できるようになります。この場合、プール マスタのIPアドレスを正しく指定する必要があります。
⾼可⽤性が有効なプールでネットワークリセット機能を使⽤することはサポートさ
れません。⾼可⽤性が有効なプールでネットワークリセットする場合は、⾼可⽤性 を無効にしてからネットワークリセットコマンドを実⾏してください。
4.5.2.1. ネットワークリセットの検証
ネットワークリセット後の設定モードを指定したら、ホストの再起動後に適⽤される設定内容が xsconsoleおよびCLIに表⽰されます。変更が必要な場合はここで変更します。これ以降の⼿順では 変更できません。ホストを再起動したら、XenCenterまたはxsconsoleを使⽤して新しいネットワー ク設定を確認できます。XenCenterでは、ホストの[ネットワーク]タブに新しいネットワーク設定 が表⽰されます。xsconsoleでは、[Network and Management Interface]セクションに表⽰
されます。
注︓
緊急時のネットワークリセットは、ほかのプールメンバ上でも実⾏する必要があり ます。これにより、プールマスタからボンディング、VLAN、およびトンネルの設 定が複製されます。
4.5.2.2. CLIを使⽤したネットワークリセット
次の表は、xe-reset-networkingコマンドで指定できるパラメータの⼀覧です。