Neutron 启用Security Group时, 会打开anti snoop功能。但是应用可能会maintain自己的VIP,这就需要用到allow address pairs功能。
这个功能是利用iptables实现的,iptables规则如下:
# iptables -nvL neutron-openvswi-o08ccf4de-f
Chain neutron-openvswi-o08ccf4de-f (2 references)
pkts bytes target prot opt in out source destination
8 2716 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:68 dpt:67
119K 11M neutron-openvswi-s08ccf4de-f all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
116K 9490K RETURN all -- * * 0.0.0.