Neutron-rootwrap (by quqi99)

最新推荐文章于 2021-03-18 16:01:33 发布
最新推荐文章于 2021-03-18 16:01:33 发布
阅读量3k 收藏
点赞数 1
分类专栏: OpenStack Networking
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quqi99/article/details/46380527
版权
       在代码中我们常常需要在普通用户下以root用户免密码运行一些命令,例如:
sudo neutron-rootwrap /etc/neutron/rootwrap.conf  ip netns exec qrouter-d5943aab-4110-4856-bfd5-fb6cea4ee09b neutron-netns-wrapper --mount_paths=/etc:/tmp/tmpdQuMgD/tmpCKrcBq/ipsec/d5943aab-4110-4856-bfd5-fb6cea4ee09b/etc,/var/run:/tmp/tmpdQuMgD/tmpCKrcBq/ipsec/d5943aab-4110-4856-bfd5-fb6cea4ee09b/var/run --cmd=ipsec,status

        Neutron是这样实现的,首先它定义了一个sudoer文件。
        $ sudo cat /etc/sudoers.d/neutron-rootwrap
        hua ALL=(root) NOPASSWD: /usr/local/bin/neutron-rootwrap /etc/neutron/rootwrap.conf *

        在/etc/neutron/rootwrap.conf文件中定义了filters_path参数指明哪个目录下列举的命令需要以root执行:
        filters_path=/etc/neutron/rootwrap.d
        exec_dirs=/sbin,/usr/sbin,/bin,/usr/bin

      定义命令的格式是:
      cmd-name: filter-name, raw-command, user, args
      其中,命令过滤器有如下7种:
RegExpFilter, 例如允许运行带有3个参数且前两个参数是-b和-t的tunctl命令:
            tunctl: /usr/sbin/tunctl, root, tunctl, -b, -t, .*
PathFilter, 例如允许将/var/lib/images目录下的任何文件chown给nova用户:
            chown: PathFilter, /bin/chown, root, nova, /var/lib/images
EnvFilter, 例如允许加环境变量CONFIG_FILE与NETWORK_ID来运行dnsmasq命令 dnsmasq: EnvFilter, env, root, CONFIG_FILE=, NETWORK_ID=, dnsmasq
ReadFileFilter, 例如允许执行cat /etc/iscsi/initiatorname.iscsi
            read_initiator: ReadFileFilter, /etc/iscsi/initiatorname.iscsi
KillFilter, 例如允许对dnsmasq进程发-9或-HUP信号
            kill_dnsmasq: KillFilter, root, /usr/sbin/dnsmasq, -9, -HUP
IpFilter, 例如允许运行任何ip命令,除了 ip netns exec and ip netns monitor
            ip: IpFilter, ip, root
IpNetnsExecFilter, 例如允许运行命令ip netns exec <namespace> <command>
            ip: IpNetnsExecFilter, ip, root
CommandFilter, 例如允许以root用户运行kpartx命令
kpartx: CommandFilter, kpartx, root
quqi99
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Rootwrap
telnetning的专栏
02-06 561
Rootwrap架构目的root 封装器的目标是,允许一个服务特有的非特权用户以可能的最安全的方式去以 root 用户去运行一些命令。曾经,Nova 使用一个特定的 sudoers 文件列出所有的 nova 用户允许运行的命令列表,运行时直接使用 sudo 来以 root 用户执行。然而,这种方式难以管理。sudoers 文件是特定包的一部分。它不允许复杂的过滤参数。
openstack-neutron-OVS agent(持续更新)
sld880311的专栏
09-14 7783
概述ML2Plugin的主要工作是管理虚拟网络资源,保证数据正确无误,具体物理设备的设置则由Agent完成。初始化Agent初始化Agent启动命令service neutron-openvswitch-agent start 通过查看setup.cfg文件可知,ovs agent的入口位于:# 根据setup.cfg文件可以看出neutron-openvswitch-agent的代码路径是neut
openstack rootwrap详解
m0_37313888的博客
12-11 3044
1.前言 网上关于openstack rootwrap的讲解还是有一些的,只知道是一个控制nova,neutron等普通用户权限的工具。但是这些代码是怎么实现以nova,neutron用户启动的呢? 这个问题我研究了一下,还是要从openstack每一项服务的开机启动脚本看起。先总结一下,openstack 实现nova,neutron普通用户的权限控制的基本方法可以概括为“以普通用户运行,只...
openstack之网络分析2
周二也被占用
03-15 1016
neutron如何让tap和虚拟机建立联系? 这几天的收获是,看日志不仅要分析控制节点的日志,还要分析物理节点的日志。而且物理节点和虚拟机的相关性更大一点。从物理节点的neutron日志分析中可以得到更多答案。   这些是删除虚拟机时日志中出现的部分命令 ['sudo', 'neutron-rootwrap', '/etc/neutron/rootwrap.conf', 'iptables
Neutron在给虚拟机分配网络时,底层是如何实现的?
周二也被占用
02-29 2130
研究思路: 了解neutron和相关组件的工作流程。Neutron如何给不同租户分配网络  了解vxlan和vlan的区别  了解linux的底层命令实现,看日志文件,并记录日志信息 首先需要了解neutron使用的是vxlan管理网络,在数据中心中如果虚拟机超过250台,那么就可以考虑vxlan。因为一个vlan最多只能使用4096个ip地址,而vxlan通过24位分片id
rootwrap模块解析以及功能扩展
溜溜小哥
07-28 5467
感谢朋友支持本博客,欢迎共同探讨交流,由于能力和时间有限,错误之处在所难免,欢迎指正!如果转载,请保留作者信息。博客地址:http://blog.csdn.net/gaoxingnengjisuan邮箱地址:[email protected]:因为各方面的原因好久没有写博客了,有时间还是要写一写的!    使用rootwrap的目的就是针对系统某些特定的操作,让非特权用户以root用户的身
iaas-install-neutron-controller-gre.sh
05-19
openstack gre
openstack-neutron-linuxbridge-15.3.0-1.el8.noarch.rpm
12-05
官方离线安装包,亲测可用
neutron-server
02-22
openstack kilo版本与H3C VCF对接中,当插件安装完成后service neutron-server restart无法重启neutron服务,使用此脚本冲洗,重启命令/etc/init.d/neutron-w start
openstack-neutron-linuxbridge-13.0.7-1.el7.noarch.rpm
12-28
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
深入理解Neutron-OpenStack网络实现
09-20
深入理解Neutron--OpenStack网络实现
neutron-dhcp-agent服务启动流程
gj19890923的专栏
05-25 1万+
在分析nova boot创建VM的代码流程与neutron-dhcp-agent之前,首先分析neutron-dhcp-agent服务启动流程。与其他服务的启动入口一样。查看setup.cfg文件。 [entry_points] console_scripts =     neutron-db-manage = neutron.db.migration.cli:main
第十三章 neutron组件安装2
weixin_30625691的博客
08-23 192
前提:以下配置neutron配置文件基于linuxbridge来实现vlan模式的多用户场景。 1、在控制节点行安装neutron组件 apt -y install neutron-server neutron-metadata-agent neutron-plugin-ml2 python3-neutronclient # 配置文件 mv /etc/neutron/neut...
虚拟机网络不通的场景和解决办法
MaueiceWei999的博客
03-20 778
虚拟机网络不通的场景和解决办法 openstack虚拟机网络不通场景和排查思路 总结下当遇到虚拟机获取不到IP地址或虚拟机网络不通的故障原因和排查思路。 content of tables 基本技巧 场景一:物理网络故障 场景二:neutron-dhcp-agent故障 场景三:openvswitch故障 经验总结 基本技巧 会抓包,排查网...
OpenStack API映射分析
dcldz5007的博客
05-25 288
Nova代码阅读 确定服务类型 RPC服务 WSGI服务 查询cmd目录下的对应的服务启动脚本,根据服务创建方式来判断服务类型,service.WSGIService表示WSGI服务,service.Service.create表示RPC服务 确认服务的入口 RPC服务 找到service.py文件的SERVICE_MANAGERS变量,这个变量列举了RPC服务的实现类 SERV...
Openstack rootwrap
Liping Mao's Blog
01-28 4514
在openstack组件中可能会需要用root权限去运行某些命令。目前是通过rootwrap实现的。 官方wiki: https://wiki.openstack.org/wiki/Rootwrap 以nova为例,安装nova后,会将一下文件放在sudoers.d目录下: [root@ci91szcmp003 sudoers.d]# cat /etc/sudoers.d/
Kilo Neutron配置文件
xiongwenwu的专栏
03-08 1043
kilo neutron配置文件 1.1 controller节点: 1.1.1:root@controller:~#cat /etc/neutron/neutron.conf [DEFAULT] rpc_backend = rabbit auth_strategy = keystone service_plugins = router allow_
openstack部署及使用过程中遇到的问题汇总
热门推荐
qq_25650463的博客
03-18 4万+
报错01 Applying 10.130.0.148_controller.pp 10.130.0.148_controller.pp: [ ERROR ] Applying Puppet manifests [ ERROR ] ERROR : Error appeared during Puppet run: 10.130.0.148_controller.pp Error: /Stage[main]/Gnocch
openstack neutron 源码安装
qq_22362139的博客
08-02 682
使用vsphere创建虚拟机,配置如下 16U20G1NIC100G 使用datastorg4下的/centos-hygon.iso镜像 全部使用默认配置安装,账号密码为root/123456 安装完成,登陆系统后修改网卡,网盘配置如下,红色为需要修改的配置 TYPE=Ethernet PROXY_METHOD=none BROWSER_ONLY=no BOOTPROTO=stat...
neutron-agt
最新发布
10-23
neutron-agt是OpenStack中的一个网络服务组件,它是OpenStack中的网络代理,负责处理虚拟网络的数据包转发和安全组规则的实现。neutron-agt运行在计算节点上,与neutron-server进行通信,将虚拟机的网络请求转换为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

quqi99

你的鼓励就是我创造的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值