分享

Openstack 中的防火墙规则分析【分享】

arsenduan 发表于 2015-5-9 11:41:25 [显示全部楼层] 回帖奖励 阅读模式 关闭右栏 2 29926
本帖最后由 pig2 于 2015-5-10 22:24 编辑




上周花了几天研究了一下Openstack的Security Group防火墙规则,总结下上周的成果。
一、介绍下我的环境。
    操作系统:RHEL6.4+Openstack官方内核
    Openstack版本:Havana
    网络模式:ML2+Linuxbridge
    租户网络:VLAN


二、Iptables 流向


[mw_shl_code=bash,true]INPUT

neutron-linuxbri-INPUT

neutron-linuxbri-o45d1d6e0-d

neutron-linuxbri-s45d1d6e0-d

neutron-linuxbri-sg-fallback

OUTPUT

neutron-filter-top

neutron-linuxbri-local

neutron-linuxbri-OUTPUT

FORWORD

neutron-filter-top

neutron-linuxbri-local

neutron-linuxbri-FORWARD

neutron-linuxbri-sg-chain=>A

A=>neutron-linuxbri-i45d1d6e0-d=>B

A=>neutron-linuxbri-o45d1d6e0-d

neutron-linuxbri-s45d1d6e0-d=>B

B=>neutron-linuxbri-sg-fallback[/mw_shl_code]
这个流向搞的太乱了,改天整理成个图片。
这里只分析二层数据包流向。


三、总结下
1、真正干活的其实就是:
neutron-linuxbri-i45d1d6e0-dneutron-linuxbri-o45d1d6e0-dneutron-linuxbri-s45d1d6e0-d
2、neutron-linuxbri-i45d1d6e0-d 这个做的是进入虚拟机的流控制,按Openstack默认的安全组的话同一个网络下的不同租户的网络是不通的。
3、neutron-linuxbri-s45d1d6e0-d 这个是做ip和mac绑定功能的。
4、neutron-linuxbri-o45d1d6e0-d 这个做的是出去虚拟机流控制,按照Openstack默认的安全组的话全部通过。
5、这几条子链名称命名规则是:用的L2Agent名称的前16为-数据流向[i/o/s]-端口UUID前11位。





已有(2)人评论

跳转到指定楼层
arsenduan 发表于 2015-5-9 11:52:19
openstack安全策略配置


  • 安全组


    • 系统为每个租户默认创建一个安全组,安全组规则为:

      • 允许所有流出流量
      • 允许相同安全组的虚拟机流入流量

    • 支持用户自定义安全组
    • 支持用户添加和删除安全组规则

      • 安全组规则包括Ingress和Egress,分别用于控制虚拟机的流入和流出流量
      • remote选项支持配置CIDR或安全组,当配置为另一个安全组时,则另一个安全组中的所有实例允许访问本安全组中的所有实例

    • 支持绑定安全组到虚拟机实例


      • 支持在创建虚拟机时,绑定一个或多个安全组到虚拟机,同一个安全组的虚拟机可达
      • 虚拟机创建成功后,支持修改绑定的安全组









回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

推荐上一条 /2 下一条