32.8. Интеграция с межсетевым экраном

⁠32.8. Интеграция с межсетевым экраном

SDN интегрируется с межсетевым экраном PVE, автоматически генерируя наборы IP-адресов (IPSet), на которые затем можно ссылаться в полях источника/назначения правил межсетевого экрана. Наборы IP-адресов генерируются автоматически для записей VNets и IPAM.

⁠32.8.1. Виртуальные сети и подсети

Межсетевой экран автоматически генерирует следующие наборы IP-адресов в области SDN для каждой виртуальной сети:

vnet-all — содержит CIDR всех подсетей в виртуальной сети;
vnet-gateway — содержит IP-адреса шлюзов всех подсетей в виртуальной сети;
vnet-no-gateway — содержит CIDR всех подсетей в виртуальной сети, но исключает шлюзы;
vnet-dhcp — содержит все диапазоны DHCP, настроенные в подсетях в виртуальной сети.

При изменении конфигурации наборы IP-адресов обновляются автоматически.

Например, для конфигурации: простая зона (simple) с виртуальной сетью vnet0, для которой настроены две подсети:

подсеть IPv4 10.20.30.0/24 с шлюзом 10.20.30.1 и диапазоном DHCP 10.20.30.100 - 10.20.30.150;
подсеть IPv6 2001:db8::/64 с шлюзом 2001:db8::1 и диапазоном DHCP 2001:db8::100 - 2001:db8::199.

# /etc/pve/sdn/vnets.cfg
vnet: vnet0
	zone simple

# /etc/pve/sdn/subnets.cfg
subnet: simple-10.20.30.0-24
	vnet vnet0
	dhcp-range start-address=10.20.30.100,end-address=10.20.30.150
	gateway 10.20.30.1
	snat 1
subnet: simple-2001:db8::-64
	vnet vnet0
	dhcp-range start-address=2001:db8::100,end-address=2001:db8::199
	gateway 2001:db8::1
	snat 1

Автоматически сгенерированные IP-наборы для vnet0 будут содержать следующие элементы:

vnet0-all
10.20.30.0/24
2001:db8::/64

vnet0-gateway
10.20.30.1
2001:db8::1

vnet0-no-gateway
10.20.30.0/24
2001:db8::/64

!10.20.30.1
!2001:db8::1

vnet0-dhcp
10.20.30.100 – 10.20.30.150
2001:db8::1000 – 2001:db8::1999