Neutron总结-security group

最新推荐文章于 2024-01-05 09:58:25 发布
最新推荐文章于 2024-01-05 09:58:25 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: neutron OpenStack OpenStack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dylloveyou/article/details/76473297
版权
OpenStack 同时被 3 个专栏收录
54 篇文章 18 订阅
订阅专栏
OpenStack
33 篇文章 16 订阅
订阅专栏
neutron
21 篇文章 1 订阅
订阅专栏

Neutron 为 instance 提供了两种管理网络安全的方法:
安全组(Security Group)和虚拟防火墙。
安全组的原理是通过 iptables 对 instance 所在计算节点的网络流量进行过滤。
虚拟防火墙则由 Neutron Firewall as a Service(FWaaS)高级服务提供。其底层也是使用 iptables,在 Neutron Router 上对网络包进行过滤。
这里先介绍安全组。

默认安全组

每个 Project(项目)都有一个命名为 “default” 的默认安全组。
点击菜单 项目 -> 计算 -> 访问 & 安全,查看 Security Group 列表。
这里写图片描述
点击“管理规则”按钮,查看 “default” 安全组的规则。
这里写图片描述
“default” 安全组有四条规则,其作用是:允许所有外出(Egress)的流量,但禁止所有进入(Ingress)的流量。

当我们创建 instance 时,可以在 “访问 & 安全” 标签页中选择安全组。如果当前只有 “default” 这一个安全组,则会强制使用 “default” 。
这里写图片描述

当前在 compute2 上有 instance “test2”。
这里写图片描述

在 compute2上执行 iptables-save 命令查看相关规则。iptables 的规则较多,这里我们节选了 test2 相关的规则。
这些规则是 Neutron 根据安全组自动生成的。
这里写图片描述

test2 的 TAP interface 为 tap700eb1c9-8c,可以看到:
1. iptables 的规则是应用在 Neutron port 上的,port 在这里是 test2 的虚拟网卡 tap700eb1c9-8c。
2. ingress 规则集中定义在命名为 “neutron-openvswi-i700eb1c9-8” 的 chain 中。
3. egress 规则集中定义在命名为 “neutron-openvswi-o700eb1c9-8” 的 chain 中。
下面我们通过 dhcp namespace 对 test2 进行 ping 和 ssh 测试。

root@controller:~# ip netns
qrouter-d0945bdd-e860-4f17-b386-80d4ddbb9d3c
qdhcp-838d7441-7c25-4b02-8698-18d76ef670be
qdhcp-f66a4f50-6ce1-452f-a618-5ecf17f1f3e7
root@controller:~# ip netns exec qdhcp-f66a4f50-6ce1-452f-a618-5ecf17f1f3e7 ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
11: tap80b8cf90-b7: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default 
    link/ether fa:16:3e:d1:ca:2a brd ff:ff:ff:ff:ff:ff
    inet 172.16.100.10/24 brd 172.16.100.255 scope global tap80b8cf90-b7
       valid_lft forever preferred_lft forever
    inet 169.254.169.254/16 brd 169.254.255.255 scope global tap80b8cf90-b7
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:fed1:ca2a/64 scope link 
       valid_lft forever preferred_lft forever
root@controller:~# ip netns exec qdhcp-f66a4f50-6ce1-452f-a618-5ecf17f1f3e7 ping 172.16.100.19
PING 172.16.100.19 (172.16.100.19) 56(84) bytes of data.
^C
--- 172.16.100.19 ping statistics ---
7 packets transmitted, 0 received, 100% packet loss, time 5999ms
root@controller:~# ip netns exec qdhcp-f66a4f50-6ce1-452f-a618-5ecf17f1f3e7 ssh 172.16.100.19
^C

无法 ping 和 ssh test2 (172.16.100.19),可见当前的规则实现了 “default” 安全组,所有 ingress 流量都被禁止。

修改安全组规则

Neutron 默认的安全组规则会禁止掉所有从外面访问 instance 的流量。
下面我们修改安全组的配置,允许 ping 和 ssh instance。
有两种方法可以达到这个目的:
1. 修改“default” 安全组。
2. 为 test2 添加新的安全组。
这里我们采用第二种方法。
在安全组列表页面点击“ 创建安全组”按钮。
这里写图片描述
为安全组命名并点击 “创建安全组”。新的安全组 “allow ping & ssh” 创建成功。
这里写图片描述
点击“管理规则”按钮,查看 “allow ping & ssh” 的规则。
这里写图片描述
系统默认定义了两条规则,允许所有的外出流量。为清晰起见,可以点击按钮“删除规则”删除这两条规则。
点击“添加规则”按钮,添加允许 ping 的规则。
这里写图片描述
“规则” 选择 “所有 ICMP 协议”,“方向” 选择 “入口”,然后点击 “添加” 按钮。
同样的方式添加 ssh 规则。
这里写图片描述
在列表中查看添加成功的规则。
这里写图片描述
接下来设置 test2,使用新的安全组。进入 instance 列表页面,点击 test2 下拉操作列表中的 “编辑安全组”
这里写图片描述
可以看到 test2 当前使用的安全组为 “default”,可选安全组为 “allow ping & ssh”。
这里写图片描述
点击安全组 “allow ping & ssh” 后面的 “+” 按钮。
这里写图片描述
点击 “保存”。
iptables 会立即更新,下面通过 对比 查看 iptables 前后的变化。
这里写图片描述
“allow ping & ssh” 安全组引入了下面两条 iptables 规则。作用是运行 ingress 的 ssh 和 ping 流量。

-A neutron-openvswi-i700eb1c9-8 -p icmp -j RETURN
-A neutron-openvswi-i700eb1c9-8 -p tcp -m tcp --dport 22 -j RETURN

测试一下,现在能够 ping 和 ssh test2 了。

root@controller:~# ip netns exec qdhcp-f66a4f50-6ce1-452f-a618-5ecf17f1f3e7 ping 172.16.100.19
PING 172.16.100.19 (172.16.100.19) 56(84) bytes of data.
64 bytes from 172.16.100.19: icmp_seq=1 ttl=64 time=1.45 ms
64 bytes from 172.16.100.19: icmp_seq=2 ttl=64 time=0.631 ms
64 bytes from 172.16.100.19: icmp_seq=3 ttl=64 time=0.642 ms
64 bytes from 172.16.100.19: icmp_seq=4 ttl=64 time=0.641 ms
^C
--- 172.16.100.19 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 2999ms
rtt min/avg/max/mdev = 0.631/0.841/1.451/0.352 ms
root@controller:~# ip netns exec qdhcp-f66a4f50-6ce1-452f-a618-5ecf17f1f3e7 ssh cirros@172.16.100.19
The authenticity of host '172.16.100.19 (172.16.100.19)' can't be established.
RSA key fingerprint is 9a:b5:80:77:5d:46:d9:f7:ac:47:44:43:7d:e1:97:69.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.16.100.19' (RSA) to the list of known hosts.
cirros@172.16.100.19's password: 
$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether fa:16:3e:eb:47:85 brd ff:ff:ff:ff:ff:ff
    inet 172.16.100.19/24 brd 172.16.100.255 scope global eth0
    inet6 fe80::f816:3eff:feeb:4785/64 scope link 
       valid_lft forever preferred_lft forever
$

小结

安全组有以下特性:
1. 通过宿主机上 iptables 规则控制进出 instance 的流量。
2. 安全组作用在 instance 的 port 上。
3. 安全组的规则都是 allow,不能定义 deny 的规则。
4. instance 可应用多个安全组叠加使用这些安全组中的规则。

文章参考每天5分钟玩转OpenStack安全组相关内容,为学习笔记:
http://www.cnblogs.com/CloudMan6/p/6081430.html
http://www.cnblogs.com/CloudMan6/p/6089335.html

dylloveyou
关注
专栏目录
OpenStack-Neutron架构
02-01
Linux Bridge还支持安全(Security Group)功能,这是OVS所不具备的。 3. **OpenvSwitch (OVS)**:OVS是云环境中交换设备虚拟化的关键件之一。它可以实现网络隔离、配置QoS以及支持标准的管理接口和协议等高级...
neutron安全功能点梳理总结
rtmdk的博客
04-13 4964
1.虚拟机安全规则一致性检查 1.根据虚拟机id找到使用的port id。 2.根据port id找到port所在计算节点名字。 3.根据port id找到port所属安全id。 4.根据安全id查询对应的安全规则。 5.Ssh到计算节点,根据port id查询对应的iptables规则。 6.自动分析安全规则与iptables规则是否一致。 2.client中安全相关接
Neutron安全分析(一)
xiakewudi的专栏
08-08 1139
1.       neutron安全介绍 neutron安全由L2 Agent来实现,也就是说L2Agent,比如 neutron-linuxbridge-agent,会将安全规则转换成IPTables规则。一般发生在所有计算节点上,可以作用于任何进出虚拟机的流量。 2.       数据模型 2.1 eutron安全共涉及五张表: Ports                   
OpenStack中的Security Group实现
yeasy的专栏
03-20 7904
【注】 Security Group在openstack中起到很重要的作用,它直接保护租户的vm。但不恰当的配置也容易导致各种莫名其妙的问题。 理解Security Group的实现,有助于理解OpenStack的设计理念和解决各种网络问题。 最新版pdf也可以从这里下载。 ----------------------------------------------------------
Openstack Nova Security Group——安全之架构篇
成长的足迹
03-12 1万+
哈,又回来了! 公司同事说不要只停留在逻辑层,你要对跑在你程序底下的数据流也要非常的清楚。但是这里还是先介绍一下逻辑层,在代码的角度看是如何实现这个功能的,关于底层的数据流,还需要哦酝酿一段时间,之后会再总结一篇底层数据流的文章,真难为我了! 一、什么是安全 安全,翻译成英文是 security group安全是一些规则的集合,用来对虚拟机的访问流量加以限制,这反映到
neutron 安全代码实现(一)
一名运维开发工程师的日常记录
01-05 1172
安全创建create请求由controller处理,调用create函数,self._notifier.info 这里先init 了neutron-lib库中的rpc.py中的NOTIFIER,然后调用oslo_message发送了一个info的通知 security_group.create.start, 调用。因为event是events.BEFORE_RESPONSE,所以最终执行了self._notify_loop,最终执行了callback。最终发送cast广播出去了。
AWS - Security Group安全
qq_44356236的博客
06-25 1179
EC2实例的安全相关的知识点。
neutron 安全代码实现(二)
最新发布
一名运维开发工程师的日常记录
01-05 607
由前面安全代码实现一中,我们知道,最终执行了ML2 plugin的create_security_group_rule 方法,由类继承我们知道最终执行了 SecurityGroupServerNotifierRpcMixin.create_security_group_rule, 函数中执行了父类sg_db.SecurityGroupDbMixin 中的create_security_group_rule。最终执行了refresh_firewall , 最终调用firewall driver更新。
错误的另一个常见原因是默认的安全规则。default security group默认情况下不允许ICMP(ping命令使用的协议)...
weixin_30772261的博客
06-06 745
可以在openstack horizon界面中添加ICMP和ssh(TCP)规则,也可以通过命令行。命令行方式给默认安全添加规则的方法如下: $ nova secgroup-add-rule default icmp -l -l 0.0.0.0/0 $ nova secgroup-add-rule default tcp 22 22 0.0.0.0/0 其中,第一条命令使虚拟机能被pi...
65-Neutron 功能概述1
08-08
对于安全性,Neutron采用两种主要机制:Security Group和Firewall-as-a-Service(FWaaS)。Security Group通过iptables规则限制进出实例的网络流量,保护实例安全。FWaaS则进一步控制虚拟路由器的网络流量,同样基于...
142-Neutron Router 工作原理1
08-08
在OpenStack Neutron服务中,Router是实现不同网络间通信的关键件。...在实际操作中,管理员还需要关注网络策略(security group)、DHCP服务以及网络拓扑设计等因素,以确保整个OpenStack环境的稳定和安全
api-quick-start-onepager
11-03
- **命令示例**:`nova boot --flavor m1.small --image Ubuntu16.04 --security-group default my_instance` #### 六、总结 通过本文档的学习,我们可以了解到 OpenStack API 的基本概念、认证机制、发送 API ...
RHCA-CL210 OpenStack私有云认证 CL210v13综合练习
12-23
例如,使用 `openstack flavor create` 创建 flavor,`glance image-create` 上传镜像,`openstack security group create` 创建安全,以及 `openstack keypair create` 创建秘钥对。 7. **网络配置**: 在 ...
OpenStack Neutron安全机制探索
weixin_43851330的博客
02-20 1550
过去一直以为,neutron安全是由iptables实现,网上不少文章也印证这个想法,他们的依据如下图: ovs的Port不具备安全功能,因此接入一个qbr-xxx的bridge,这个bridge的实现载体是Linux Bridge,借助iptables实现防火墙功能——原本我也是这么认为的。 直到有一次,在查找具体的安全iptables规则时,并没有发现相关的rules,对此产生了怀疑。 查看ml2_conf.ini的配置文件后,发现我们环境中的firewall driver是openvswitc
Neutron命令和日志路径
qq_39581505的博客
03-27 1554
配置nova-compute。neutron security-group-rule-create --direction ingress --remote-ip-prefix 0.0.0.0/0 de6d2cef-6be2-4d9e-bb15-64fb44884ed4 (安全ID)neutron security-group-rule-create 名称或ID –direction ingress –protocol ICMP –remote-ip-prefix 0.0.0.0/0。
neutron security group
maidi_1983的专栏
07-11 1568
Neutron 安全,是端口级别的安全手段,这一点跟fwass是区别的,fwass是子网间的流量安全防护,比如,同一租户的subnet A 与subnet B 之间,一般生效在子网间的路由器上,neutron原生实现是通过Iptables来做,业界厂商像cisco是由 VSA 来做的,fwass不在本文的描述范围。回到安全租,安全租是不仅仅局限在L2,
AWS security group 和 network ACL
Tom098的博客
05-23 2812
AWS security group 和 network ACL都定义了网络访问规则,用于控制哪些inbond和outbond traffic被允许或者被禁止。不同之处在于: AWS security group:应用于主机的流量访问控制。同一个security group可以跨不同的subnet甚至availability zone,但是不能跨VPC。(一个VPC可以跨多个Availability zone, 一个Availability zone就是一个数据中心,一个region下边可以有多个Ava.
Security group的流程分析nova篇
epugv的专栏
09-02 4404
Security group在G版本中可由nova和quantum分别来完成。Nova部分的底层由iptables完成,quantum部分应该也是。本文档主要分析nova部分,quantum部分待续。 1 首先由python-novaclient接收处理请求 /novaclient/v1_1/shell.py def _get_secgroup(cs, secgroup): #
OpenStack Nova 总结(01)- 架构及件详解
热门推荐
创新是灵魂,执行是生命。
06-14 1万+
一、概述 Nova(OpenStack Compute Service)是 OpenStack 最核心的服务,负责维护和管理云环境的计算资源,同时管理虚拟机生命周期。 Nova 在整个 OpenStack 架构中的位置如下图: 在上图中可以看到,OpenStack 很多件都为 Nova 提供支持: Glance 为 VM 提供镜像; Cinder 和 Swift 分别为 VM 提...
openstack neutron的所有命令行
03-31
28. neutron security-group-rule-create <group-id>:创建一个新的安全规则 29. neutron security-group-rule-delete <rule-id>:删除指定的安全规则 30. neutron security-group-rule-list <group-id>:列出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值