带着问题了解Openstack Neutron安全组

最新推荐文章于 2024-08-20 02:16:07 发布
最新推荐文章于 2024-08-20 02:16:07 发布
阅读量2.2k 收藏 3
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZVAyIVqt0UFji/article/details/78498299
版权
本文作者作为360 HULK云平台的运维开发工程师,分享了在解决Openstack Neutron安全组问题的过程中,如何排查网络问题并理解Neutron的安全组策略。通过分析网络架构,抓包定位,以及研究iptables规则,最终找到了IPIP协议未放开导致的数据包丢失问题,并通过添加规则成功解决了通讯问题。
摘要由CSDN通过智能技术生成

女主宣言

本文出自于ADDOPS团队,该文章作者李文新是360 HULK云平台容器化及虚拟化平台运维开发工程师,负责网络模块的设计与开发。本文是由他最近解决的一个Openstack Neutron安全组问题所触发而写,让我们跟随作者的思路一起来了解Neutron Security Group和一般网络问题的解决思路吧。

PS:丰富的一线技术、多元化的表现形式,尽在“HULK一线技术杂谈”,点关注哦!

前言

本文主要用来记录最近解决的一个Openstack Neutron安全组的问题。在为业务部门创建lvs服务时,Linux Director与Real Server间无法进行正常的通讯,Real Server是由Hulk云平台创建的Openstack虚拟机。 


网络问题排查,按照『确定网络结构 - 抓包定位 - 分析定位问题 - 纠正网络部署 - 单元测试 - 完整测试 -(推入生产)- 回归测试 - 总结回顾』的思路来就基本搞定了。


1

确定网络结构

遇到网络问题,首先考虑数据包在全流程中drop的位置,所以,首先我们要熟知Openstack Neutron网络的整个架构。 为了重点讲述Openstack Neutron网络及安全组,我们假设Linux Director和Real Server虚机所在的物理主机之间的网络可达。如下图是Openstack Neutron网络数据面的基本架构。


看下这个架构图,首先遇到一个特殊之处,我们暂且花点时间看一下: br-ethx与br-int是OVS创建的OVS Bridge,qbr-XXX是Linux Bridge,为什么不把虚机的Tap设备直接挂到OVS Bridge的br-int上,而在br-int和Tap设备间加个Linux Bridge qbr-XXX?


  1. Openstack Neutron需要在宿主机上执行一定的安全策略;

  2. Hulk平台使用的ovs版本是2.3.1,该版本尚未完全支持安全策略的内核模块实施部分:netfilter模块;

  3. 增加一个中间层Linux bridge可以解决网络策略配置。


Openstack Neutron网络各设备及配置请参考这里

(http://www.sdnlab.com/13000.html)


接下来我们进入探索之旅。


2

抓包定位

在物理机和虚机上抓包:在客户端发送请求数据包后,分别在ABCDEFG七个点中抓包:

tcpdump -i xxx -nv | grep ipip

其中,在CDEFG 5个点都能抓到数据包,在AB两点没有抓到。


3

最低0.47元/天 解锁文章
ZVAyIVqt0UFji
关注
Neutron安全
烟云的计算
10-11 1359
Neutron Security Group 用于针对 Neutron Port 粒度进行 ACL 安全防护,支持设置多条 Security Group Rules 来定义 ACCEPT 操作集合,所以本质是一个 White List(白名单)ACL,即不支持显式的 DENY 操作(默认 DENY ALL)。在 Linux Kernel 中,网络连接状态记录功能由 CT(connection tracker)模块提供,作为 Netfilter 状态防火墙的支撑。
Neutron 默认安全规则 - 每天5分钟玩转 OpenStack(115)
weixin_33704591的博客
11-21 282
Neutron 为 instance 提供了两种管理网络安全的方法: 安全(Security Group)和虚拟防火墙。 安全的原理是通过 iptables 对 instance 所在计算节点的网络流量进行过滤。 虚拟防火墙则由 Neutron Firewall as a Service(FWaaS)高级服务提供。 其底层也是使用 iptables,在 Neutron Router 上...
OpenStack后台默认账号密码详解与安全策略分析
最新发布
weixin_33186486的博客
08-20 48
1. 引言OpenStack凭借其开源、灵活和可扩展性,被广泛应用于云计算环境中。然而,随之而来的安全问题也是不容忽视的,特别是对于后台默认账号和密码的管理。无论是测试环境还是生产环境,管理员都必须谨慎处理默认的账号密码设置,以避免潜在的安全风险。2. OpenStack安装与默认账号密码2.1 手动安装与配置手动安装Op...
neutron安全
jason的笔记
10-11 1538
在access & secure下面可以看到默认的安全, 点击manager rules可以看到安全规则。 分别针对ipv4 和ipv6 允许所有外出(Egress)的流量,但禁止所有进入(Ingress)的流量 点击create secure group新建安全 可以看到已经生成了新的安全 点击manager r
Openstack安全规则说明
weixin_33828101的博客
10-18 214
   openstack安全规则,主要是在网络控制器,nova-network中进行的端口限制,所以我们需要对规则进行定制。 定制通用安全规则 通用安全规则主要包括2个,1是支持ping的icmp协议,2是支持ssh的远程登录规则。 点击“编辑规则” 点击“添加规则” 选择我们要使用的规则,这里我们要连续对"default"规则添加基础的2项,即icmp规则和ssh规...
openstack-neutron的GRE、VLAN和VXLAN网络模式审核
oshhh的博客
03-21 424
另外一个是 qg-xxx 这样的接口,是连接到 router 服务的网络名字空间中,里面绑定一个路由器的外部IP,作为 NAT 时候的地址,另外,网络中的 floating IP 也放在这个网络名字空间中。br-tun将有vlan tag的vm跟外部通信的流量转换到对应的gre隧道,这上面要实现主要的转换逻辑,Compute节点上发往GRE隧道的网包最终抵达Network节点上的br-tun.网络节点上的规则跟Compute节点上br-tun的规则相似,完成tunnel跟vlan之间的转换。
OpenStack Neutron N版本VLAN aware VMs特性解析(二)
Hcloud
12-11 2570
声明: 本博客欢迎转载,但请保留原作者信息,并请注明出处:http://write.blog.csdn.NET/! 作者:林凯 团队:华为杭州OpenStack团队上一篇介绍完社区vlan aware VMs BP在北向数据模型和plugin实现之后,本篇介绍该BP在南向实现的方案。 社区在考虑该BP的南向实现的时候,基于以下几个角度考虑: 1.设计复杂度:完整的重构仅在某些情况下可取,V
Openstack学习笔记2-Neutron
woody_0011的博客
12-19 1077
3.4 Neutron概述neutron:网络服务,负责接收对网络的调用请求 网络管理和配置是云计算中一项非常重要的功能。nova自的nova-network实现了一些基本的网络模型,允许虚拟机之间的相互通信及虚拟机对internet的访问。归纳的来讲nova network的主要功能有:  网络模型:nova network实现了三种网络模型,允许管理员根据自己的需要进行网,让虚拟机
OpenStack架构
悦分享
07-05 6386
简单来说,OpenStack就是一种用于部署虚拟环境(虚拟机和容器)以及互连这些虚拟环境所需网络的软件应用程序。OpenStack主要使用Python编程语言,需要运行在Linux环境中。虽然没有OpenStack也能部署虚拟机和容器,但是OpenStack提供了一整套部署虚拟环境的平台及公共接口。
Openstack中防火墙和安全的区别
03-19
本文讲述了OpenStack中防火墙和安全的区别,写的很详细。供大家学习。
openstack官方API测试案例-查询全部安全
qq_30657195的博客
08-17 768
openstack是一个提供了较为详细、实用的开源云管理系统。但是作为openstack二次开发的新手,特别是类似我这样刚刚踏入云计算行列的学生来说,使用openstack提供的api是一件困难的事情。那么在这篇博客中,我将详细地介绍一个使用openstack api的例子。 博客将以查询所有的安全为例。 查询全部安全 1. 找到参考API 安全neutron件进行管理维护,那么首先找到对应的API使用方式。 安全API 如上图如所示,查询所有安全的api为/v2.0/security-
neutron中的安全和防火墙
虚拟化云计算技术
04-05 3130
文章来自作者维护的社区微信公众号【虚拟化云计算】) (目前有两个微信群《kvm虚拟化》和《openstack》,扫描二维码点击“云-交流”,进群交流提问) 一。防火墙与安全区别 防火墙一般放在网关上,用来隔离子网之间的访问。因此,防火墙即服务也是在网络节点上(具体说来是在路由器命名空间中)来实现。防火墙可以在安全之前隔离外部过来的恶意流量,但是对于同个子网内部不同虚拟网卡间的通...
Neutron 安全 API
redwingz的博客
07-06 391
Neutron安全API Wiki地址:https://wiki.openstack.org/wiki/Neutron/SecurityGroups API扩展 API扩展时代码的"前端"部分,其处理整个工程使用的REST-ful API的定义。 REST-ful API: https://git.openstack.org/cgit/openstack/neutron/tree/neutron...
neutron安全分析(三)
xiakewudi的专栏
08-08 432
4.2.   安全更新 1、 Neutron-client发送updatesecuritygroup消息给neutron-server,neutron-server调用securitygroupplugin中的update_security_group方法处理消息; 2、 在update_security_group方法中直接更新安全表项。 3、 securitygroup
OpenStack Neutron安全机制探索
weixin_43851330的博客
02-20 1475
过去一直以为,neutron安全是由iptables实现,网上不少文章也印证这个想法,他们的依据如下图: ovs的Port不具备安全功能,因此接入一个qbr-xxx的bridge,这个bridge的实现载体是Linux Bridge,借助iptables实现防火墙功能——原本我也是这么认为的。 直到有一次,在查找具体的安全iptables规则时,并没有发现相关的rules,对此产生了怀疑。 查看ml2_conf.ini的配置文件后,发现我们环境中的firewall driver是openvswitc
openstack安全规则
qq_19396231的博客
11-06 2039
http://www.aboutyun.com/thread-8964-1-1.html       参考官方资料You must modify the rules for the default security group because users cannot access instances that use the default group from   any IP ad...
OpenStack Neutron网络件发展历程与配置详解
配置过程通常涉及配置文件管理、安全设置以及与其他OpenStack服务(如Keystone、Nova等)的集成。 OpenStack网络Neutron的研究不仅关注其历史发展,还涵盖了其内部结构、服务器功能以及如何在现代云环境中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值