Openstack安全组与conntrack简介

最新推荐文章于 2024-06-29 06:45:46 发布
最新推荐文章于 2024-06-29 06:45:46 发布
阅读量8.3k 收藏 4
点赞数
分类专栏: neutron 文章标签: openstack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bc_vnetwork/article/details/51350787
版权
本文介绍了Openstack中安全组的工作原理,强调了安全组如何基于Iptables实现,并探讨了conntrack在连接追踪中的作用。在不使用conntrack-tool时,删除安全组规则可能导致通信未中断的问题,而在引入conntrack-tool后,这些问题得到了解决,实现了更好的租户隔离和连接管理。
摘要由CSDN通过智能技术生成

Openstack中的安全组实现相互信任的虚拟机之间的通信,绑定同一个安全组的虚拟机使用相同的安全策略。安全组作用范围是在虚拟机上,更具体来说是作用在虚拟机的端口而不是网络上。Openstack中安全组基于Iptables实现,由于当前OpenvSwitch(ovs)不能使用iptables rule,所以虚拟机先连接linux bridge,再连接到ovs网桥。参考链接[1]。


使用Iptables时,报文的状态可以归类为四种:NEW ESTABLISEDRELATED INVAILD. Netfilter就是通过conntrack实现连接追踪的。Conntrack是linux的一个内核模块,使用 conntrack entry记录连接的状态信息,具体可参考[2]。


1.   sg without conntrack-tool



图1


Neutron最初实现安全组功能时并没有考虑对conntrack的处理,从而导致一些问题。如图1虚拟机vm1(1.1.1.8)  vm2(1.1.1.9)属于同一子网,位于同一个计算节点,都绑定default安全组,执行vm1 ping vm2后能够ping通。此时删除default安全组中ingress规则保留egress规则,发现vm1 ping vm2仍未中断[3]。


究其原因,ICMP报文到达vm2连接的linux bridge时进入Iptables处理阶段。ipta

最低0.47元/天 解锁文章
赤焰军
关注
专栏目录
openstack之neutron防火墙fwaas配置和使用
代码讲故事
05-25 881
示例配置文件 Sample fwaas_driver.ini [DEFAULT] [fwaas] # # From firewall.agent # # Name of the FWaaS Driver (string value) #driver = # Enable FWaaS (boolean value) #enabled = false # Firewall agent class (string value) #agent_version = v2 # Name of the FW
OpenStack回顾第一天之架构整理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-16 325
OpenStack 概览 OpenStack项目是一个开源云计算平台,支持所有类型的云环境。OpenStack是一个云操作系统,可控制整个数据中心内的大型计算,存储和网络资源池,所有资源均通过具有通用身份验证机制的API进行管理和配置。OpenStack的开发和发布周期约为6个月。初始发行版之后,将在每个发行系列中发行其他稳定发行版。OpenStack第二十一个版本Ussuri(最新稳定版)已发布。 注:上图中,如某个分支被标记为“扩展维护( Extended Maintenance)”,则意味着该分支上
Openstack安全组与conntrack简介(2)
赤焰军
06-12 1621
1.     优化zone的设置 [1]中最后部分介绍到为了实现租户的conntrack隔离,neutron对conntrack entry管理时增加了一个zone属性,zone的值设置为虚拟机localvlan tag。相同网络的两个虚拟机如果被创建在同一计算节点,则这两个虚拟机使用的port vlan tag相同。同一个计算节点上运行的不同网络的虚拟机其vlan tag不同。
Openstack Nova Security Group——安全之架构篇
热门推荐
成长的足迹
03-12 1万+
哈,又回来了! 公司同事说不要只停留在逻辑层,你要对跑在你程序底下的数据流也要非常的清楚。但是这里还是先介绍一下逻辑层,在代码的角度看是如何实现这个功能的,关于底层的数据流,还需要哦酝酿一段时间,之后会再总结一篇底层数据流的文章,真难为我了! 一、什么是安全 安全,翻译成英文是 security group。安全是一些规则的集合,用来对虚拟机的访问流量加以限制,这反映到
Linux中的conntrack命令深入解析
最新发布
lldhsds的专栏
06-29 811
conntrack命令源于Linux的netfilter项目,这是一个内置于Linux内核中的网络包处理模块。Netfilter支持各种网络相关任务,如包过滤(防火墙)、网络地址转换(NAT)和连接跟踪。conntrack工具最初设计的目的是为了管理和监视netfilter的连接跟踪系统,这个系统记录了所有经过防火墙的网络连接的状态信息。连接追踪是网络防火墙功能中的一部分,用于记录网络连接的状态。它帮助防火墙做出智能决策,比如允许或拒绝特定连接。连接追踪支持多种协议,包括 TCP、UDP、ICMP 等。
openstack】Neutron实验三安全基本概念和操作步骤(附源码)
zsWang9的博客
04-17 2119
    该实验是在SDNLab的未来网络学院学习肖宏辉的《Openstack Neutron应用入门》课程时,借助其实验平台所做的实验。同样也适应其他环境想要自学openstack的小伙伴。    实验平台:https://www.sdnlab.com/experimental-platform/(也可以使用自己搭建的openstack环境)    该实验是在实验二的基础上进行的,所以在看本实验之...
ovs conntrack及nat
fengcai_ke的博客
07-08 2064
ovs连接跟踪及nat实现分析
ovs conntrack based firewall driver (by quqi99)
技术并艺术着
04-20 7094
作者:张华 发表于:2016-04-20 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.csdn.net/quqi99 ) 我们知道,Neutron security group特性是基于iptables实现的,iptables规则只能作用于linux bridge,不能作用于ovs bridge上,所以在VM...
带着问题了解Openstack Neutron安全
HULK一线技术杂谈
11-09 2224
女主宣言 本文出自于ADDOPS团队,该文章作者李文新是360 HULK云平台容器化及虚拟化平台运维开发工程师,负责网络模块的设计与开发。本文是由他最近解决的一个Openstack Neutron安全问题所触发而写,让我们跟随作者的思路一起来了解Neutron Security Group和一般网络问题的解决思路吧。 PS:丰富的一线技术、多元化的表现形式,尽在“HULK一线技术杂谈”,点关
OVS Conntrack 指南
redwingz的博客
07-02 9760
OVS可与内核的连接跟踪系统(Connection tracking system)一同使用,借助Conntrack的功能,OpenFlow流可用于匹配TCP、UDP、ICMP等连接的状态。(连接跟踪系统支持跟踪有状态和无状态协议)。 本教程演示OVS如何使用连接跟踪系统。以匹配从连接建立到连接拆除的TCP报文段。将OVS与Linux内核模块一同作为此演示的数据路径。(在Linux内核中利用ope...
conntrack系统介绍
10-02
描述了netfile框架下的conntrack连接跟踪系统
深入浅出iptables的状态检测机制
01-20
每个网络连接包括以下信息:源地址、目的地址、源端口和目的端口,叫作 套接字对(socket pairs);协议类型、连接状态(TCP协议)和超时时间等。防火墙把这些信息叫作状态(stateful),能够检测每个连接状态的防火墙叫作状态包过滤防火墙。它除了能够完成简单包过滤防火墙的包过滤工作外,还在自己的内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的安全性。
连接跟踪conntrack详解
02-08
非常详细的连接跟踪过程讲解 非常详细的连接跟踪过程讲解
ovs conntrack的实现
zhangtongjian12的博客
12-09 426
ovs conntrack的实现
OVS架构zz
anjuenz87013的博客
04-12 200
OVS 总体架构、源码结构及数据流程全面解析 http://www.cnblogs.com/bakari/p/8097478.html 从 Bridge 到 OVS,探索虚拟交换机 http://www.cnblogs.com/bakari/p/8097439.html 转载于:https://www.cnblogs.com/soul-stone/p/8807970....
连接跟踪(conntrack):原理、应用及 Linux 内核实现
maimang1001的专栏
05-19 5051
连接跟踪(conntrack):原理、应用及 Linux 内核实现 This post also provides anEnglish version. 摘要 1 引言 1.1 概念 1.2 原理 1.3 设计:Netfilter 1.4 设计:进一步思考 1.5 应用 1.5.1 网络地址转换(NAT) 四层负载均衡(L4LB) 1.5.2 有状态防火墙 OpenStack 安全 1.6 小结 2 Netfilter h..
linux conntrack命令 路由连接 跟踪表 显示删除监听记录
whatday的专栏
11-01 1万+
conntrack命令可以显示,删除和更新跟踪表现有状态条目,还可以监听流事件 1.安装: yum install -y conntrack 2.使用: 查看conntrack表记录 conntrack -L 过滤条件输出 # conntrack -U -p tcp --dport 3486 --mark 10 tcp 6 431982 ESTABLISHED src=192.168.2.100 dst=123.59.27.117 sport=34846 dport=993 pa
07_openstack安全组与浮动IP
桂安俊@KylinOS
12-03 3265
目录一、环境准备二、浮动IP1、浮动IP介绍2、创建和分配浮动IP三、安全1、安全介绍2、创建安全3、给云主机绑定安全部署openstack私有云环境:02_openstack私有云部署_桂安俊@kylinOS的博客-CSDN博客创建项目和用户:03_openstack之项目及用户管理_桂安俊@kylinOS的博客-CSDN博客创建镜像:04_openstack之Glance镜像和云主机类型_桂安俊@kylinOS的博客-CSDN博客创建网络:05_openstack之Neutron网络管理_桂安俊
Openstack虚机创建与云计算安全详解
云计算技术与信息安全是现代信息技术的重要成部分,尤其是在云计算基础设施即服务(IaaS)领域,如OpenStackOpenStack是一个开源的云计算平台,由Rackspace和NASA合作开发,旨在提供企业级的云服务功能,类似于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值