ovn acl功能

已于 2022-07-17 22:45:15 修改
阅读量1k 收藏
点赞数
分类专栏: OVN 文章标签: 网络 ovn acl
于 2022-07-09 16:28:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengcai_ke/article/details/125695327
版权

本文介绍一下ovn的acl功能,用来设置访问控制列表,并且只能应用在逻辑交换机或者port group上,不能应用在逻辑路由器上。

acl table

nbdb中提供了acl table,如下所示,其中每行都表示一条acl规则,参数包括优先级,方向,匹配域和动作。

image.png


priority
指定acl规则的优先级,值越大优先级越高。如果匹配到的多条规则优先级相同,最终哪条规则生效是不确定的。
direction
指定报文的方向,只有两个值: from-lport和to-lport。前者表示入方向,后者表示出方向,这是在逻辑交换机的角度来说的。
match
用来指定报文匹配域,具体的表达式规则可参考sbdb中 logical_flow table的match列。注意:类型为localnet和router的端口上不能应用acl规则。
action
对于匹配到规则的报文的处理,目前支持四个值:allow, allow-related, drop, or reject。
allow: 表示允许报文通过;
allow-related:表示允许报文和其响应报文通过;
drop:静默丢弃报文;
reject:丢弃报文,并回复报文。对于tcp协议报文,回复rst,对于其他类型的报文,回复ICMPv4/ICMPv6 unreachable。

比如在逻辑交换机ls1上添加如下规则,发往ls1-vm1端口的ip报文被丢弃,优先级为0。

ovn-nbctl acl-add ls1 to-lport 0 'outport == "ls1-vm1" && ip' drop

address_set table

address_set table的每行指定了地址集合,包含ipv4,ipv6和mac地址,可以用在acl规则的match字段。

image.png

如下两个例子

//创建ip地址集合
ovn-nbctl create Address_Set name=ipset addresses='10.10.20.2 10.10.10.3'
//创建mac地址集合
ovn-nbctl create Address_Set name=macset addresses='"02:00:00:00:00:01","02:00:00:00:00:02"'

应用acl

只在acl table添加规则是没用的,还需要将其应用到逻辑交换机或者port group。如下Logical_Switch和Port_Group table的acls列指定了acl规则的集合。

Logical_Switch TABLE 
  acls                          set of ACLs

Port_Group TABLE
  acls                          set of ACLs

实验

在前一篇文章ovn 配置逻辑路由器实现三层转发的基础上,做个小实验,拓扑如下

image.png


ls1和ls2两个网段的四个vm是可以互相通信的,现在要做的是在ls1上的vm1 namespace中启动一个web服务器,默认情况下,其他三个vm都可以访问这个web服务,然后通过添加acl规则限制,仅让ls2上的两个vm可以访问。

首先在ls1的vm1上启动web服务

rm /tmp/www -rf
mkdir -p /tmp/www
echo "i am vm1" > /tmp/www/index.html
cd /tmp/www
ip netns exec vm1 python -m SimpleHTTPServer 8000

先验证默认情况下,其余三个vm都可以访问web服务

root@master:~# ip netns exec vm2 curl 10.10.10.2:8000
i am vm1
root@node1:~# ip netns exec vm1 curl 10.10.10.2:8000
i am vm1
root@node1:~# ip netns exec vm2 curl 10.10.10.2:8000
i am vm1

root@master:/tmp/www# ip netns exec vm1 python -m SimpleHTTPServer 8000
Serving HTTP on 0.0.0.0 port 8000 ...
10.10.10.3 - - [23/May/2021 19:32:42] "GET / HTTP/1.1" 200 -
10.10.20.2 - - [23/May/2021 19:32:49] "GET / HTTP/1.1" 200 -
10.10.20.3 - - [23/May/2021 19:32:53] "GET / HTTP/1.1" 200 -

然后在中心节点上添加两条优先级最低的规则,从ls1-vm1发出和发往ls1-vm1的ip报文默认drop

ovn-nbctl acl-add ls1 to-lport 0 'outport == "ls1-vm1" && ip' drop
ovn-nbctl acl-add ls1 from-lport 0 'inport == "ls1-vm1" && ip' drop

再次在其他vm上访问,结果是失败的。

下面添加另一个acl规则,使ls2上的两个vm可以访问web服务。

//只允许 10.10.20.0/24 网段的ip访问8000服务
ovn-nbctl acl-add ls1 to-lport 1000 'outport == "ls1-vm1" && ip4.src == 10.10.20.0/24 && tcp.dst == 8000' allow-related

查看结果,只有ls2上的vm1和vm2可以访问web服务

root@master:~# ip netns exec vm2 curl 10.10.10.2:8000
 ... ->不通
root@node1:~# ip netns exec vm1 curl 10.10.10.2:8000
i am vm1
root@node1:~# ip netns exec vm2 curl 10.10.10.2:8000
i am vm1

参考

https://blog.csdn.net/zhengmx100/article/details/75431393

也可参考:ovn acl功能 - 简书

分享放大价值
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
ovn-nbctl手册.pdf
03-22
针对ovn v2.12.0版本,根据man ovn-nbctl整理的ovn-nbctl中文使用手册,详细介绍了各命令的使用方法及限制条件。
kube-ovn功能丰富且易于操作的企业级Kubernetes网络结构
02-02
Kube-OVN将基于OVN的网络虚拟化与Kubernetes集成在一起。 它为企业提供了功能最多,操作最简单的高级容器网络结构。 社区 Kube-OVN社区正在等待您的参与! 在关注我们 在与我们聊天 其他问题请发送电子邮件至 微信用户加liumengxinfly进入“ Kube-OVN开源交流群”,请注明Kube-OVN和个人信息 产品特点 命名空间子网:每个命名空间可以具有唯一的子网(由逻辑交换机支持)。 命名空间中的Pod将具有从子网分配的IP地址。 多个命名空间也可以共享一个子网。 子网隔离:可以配置子网以拒绝来自不在同一子网内的源IP地址的任何流量。 可以将特定的IP地址和IP范围列入白名单。 网络策略:通过高性能ovn ACL实施network.k8s.io/NetworkPolicy API。 用于工作负载的静态IP地址:为工作负载分配随机或静态IP地址。 DualStack IP支持:Pod可以在仅IPv4 /仅IPv6 / DualStack模式下运行。 Pod NAT和EIP :像传统VM一样管理Pod外部流量和外部ip。 多群集网络:将不同的群集连
OVN架构详解
01-19
OVN(即Open Virtual Network)是一款支持虚拟网络抽象的软件系统。OVN在OVS现有功能的基础上原生支持虚拟网络抽象,例如虚拟L2,L3覆盖网络以及完全组。诸如DHCP,DNS的服务也是其关注的内容。就像OVS一样,OVN的设计目标是可以大规模运行的高质量生产级实施方案。
何使用OVN ACL策略控制虚拟机之间的网络不通和互通
卧龙居
09-27 407
1.环境,两台虚拟机(两台虚拟机绑定交换机acl_sw) acl_v1 内部IP:24.130.26.124 外部ip:10.67.2.34 接口名:mnet2 acl_v2 内部IP:24.130.26.251 外部ip:10.67.2.33 接口名:mnet1 2.虚拟机之间不互通,但虚拟机允许特定IP机器SSH它 #阻止所有到acl_v1、acl_v2的流量 ovn-nbctl acl-add acl_sw to-lport 0 'outport == "mnet2" &&
【博客448】OVN (Open Virtual Network)
qq_43684922的博客
08-14 1578
OVN是OVS提供的原生虚拟化网络方案。OVN是OpenvSwitch项目组为OpenvSwitch开发SDN控制器,同其他SDN产品相比,OVN对OpenvSwitch 及OpenStack有更好的兼容性和性能。
初识ovs交换机
tzk
12-20 5434
1、ovs交换机的优点 <1>、便宜: 虚拟交换机可以使用一台普通的服务器配置出数十台甚至上百台的虚拟交换机,且端口数目可以灵活选择 <2>、性能好: 虚拟机与虚拟交换机之间的联机速度轻易可达10Gbps。 2、什么是ovs虚拟交换机 <1>、绿色虚线内组成的就是一个虚拟网络了。其虚拟机之间的...
OVS
weixin_44233888的博客
03-23 2756
1.OVS简介 定义: Openswitch简称OVS,是一个多层的,高质量的开源虚拟交换机(网络分层的层)移植性好,主要部署在服务器上,相比传统交换机具有很好的编程扩展性,同时具备传统交换机实现的网络隔离和数据转发功能,运行在每个实现虚拟机的物理机器上,并提供远程管理。 目的 是通过编程扩展支持大规模网络自动化,同时还支持标准的管理接口和协议。 两大特点 基于overlay(vxlan等)网络的思想设计 基于OpenFlow 2.查找 OpenVSwitch实现了一个统一的查找算法:TSS(Tuple
OVN入门
dhc8242的博客
09-06 943
参考链接 如何借助 OVN 来提高 OVS 在云计算环境中的性能 OVN简介 Open vSwitch Documentation OVSDB介绍及在OpenDaylight中的调用 OpenDaylight即将迈入“七年之痒”? 一、为什么OVN会出现? 众所周知,OpenvSwitch 以其丰富的功能和不错的性能,已经成为 Openstack 部署中最受欢迎的虚拟交换机。由于 O...
SDN控制器之OVN实验五:配置OVN网络安全功能ACL
筋斗云计算
07-19 2824
本文通过使用OVN访问控制列表(ACL)来实现基本的网络安全功能OVN访问控制列表和地址集介绍 OVN中的ACL规则存储于北向数据库的ACL表中,并且可以使用ovn-nbctl的acl命令进行配置。目前,ACL只能应用于逻辑交换机,但是未来将支持应用到逻辑路由器。 在出站和入站方向都支持使用ACL: 入站:从工作负载(t
OVS的隐藏设计原则
lingshengxiyou的博客
01-04 177
本期仅介绍了Match-Action-Revalidator的套路设计,下一期介绍下OVS下一些高级概念如Recirculation,Tunnel,Conntrack的一些具体实现。。
OVN大二层网络解决方案-V1.0
12-09
OVN兼容主流网络厂商的大二层网络技术,虚拟交换机技术。将两台物理交换机作为单一逻辑虚拟交换机运行隧道技术。通过在二层报文前插入额外的帧头,并采用路由计算的方式控制数据的转发L2 over L3技术,将二层数据报文封装在三层报文中,跨越中间的三层网络实现两地二层网络的互通
kube-ovn项目详细介绍,物超所值
11-07
kube-ovn项目详细介绍,物超所值
ovn&ovs编译(申威64)
06-29
申威64的ovn和ovs deb包
Kube-OVN系列 - VPC 的使用
liruonian的博客
10-09 251
对于这类需求,我们就可以使用 VPC 和 Subnet 来实现,通过 VPC 实现厂商(租户)间的隔离,通过 Subnet 来实现应用间的隔离(当然有很多灵活的用法)。我们在上一篇介绍的文章中可以看到,如果我们在创建 Subnet 的时候没有指定 VPC,那该 Subnet 默认会关联上 Kube-OVN 初始化时创建的VPC,但在例如我们当前举例的云计算平台的场景下,所有租户都使用默认的 VPC 显然是无法达到很好的隔离性的。所以,仅使用默认的VPC 和 默认的。
【kubernetes/k8s概念】OVN NorthBound DB 及 ovn-nbctl 命令
zhonglinzhang
07-28 8960
Northbound DB 是 OVN 和 CMS 之间的接口,Northbound DB 的数据几乎都是由 CMS 产生的,ovn-northd 监听这个数据库的内容,然后翻译并保存到 Southbound DB 里面。 Northbound DB 主要有如下表: Table Purpose NB_Global Northbound configuration for an OVN system. This table must haveexactly...
Kube-OVN子网
任我行的博客
12-04 898
子网是 Kube-OVN 中的一个核心概念和基本使用单元,Kube-OVN 会以子网来组织 IP 和网络配置,每个 Namespace 可以归属于特定的子网, Namespace 下的 Pod 会自动从所属的子网中获取 IP 并共享子网的网络配置(CIDR,网关类型,访问控制,NAT控制等)。在 Kube-OVN 中子网为一个全局的虚拟网络配置,同一个子网的地址可以分布在任意一个节点上。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aSnfoZgU-1670161299418
OpenStack 学习之 OVN : L2网络 ( Logical switches 逻辑交换机)
哈哈虎的博客
12-01 1810
Ubuntu 20.04 上 OpenStack 学习之 OVN : L2网络 ( Logical switches 逻辑交换机)
传统路由和OVS区别
weixin_30902251的博客
05-26 636
本文主要描述了一种将三层路由变成二层交换转发(以及二层转发变成三层路由)的实现方式,以应对OVS(OpenFlow)跨网段路由复杂的问题;当然技术本身是客观的,具体应用还要看场景。 随着SDN技术不断“发展”,玩路由器交换机的变成了“传统网工”,搞控制器、转发器的才算是正常工作,当然任何新技术的掌握都离开对“历史”了解或者反刍;也许几年以后当有人听到一条一条的配置ACL、配置路由表是一件很不可思...
使用MPLS解决BGP的路由黑洞(详解)
最新发布
qq_64302290的博客
05-18 293
我们知道在MPLS中数据的转发不再依靠路由表而是靠标签(注意:标签是在路由的基础上形成的)。所以在BGP中,我们依靠的就是这个特性来解决BGP的路由黑洞。BGP路由黑洞的解释:BGP的路由黑洞其实就是路由层面可达,数据层面不可达。(你可以收到对方的路由,但是不能和对方通讯。
openstack 如何监控ovn
07-17
OpenStack 中的 OVN(Open Virtual Network)可以通过不同的方式进行监控。以下是一些常见的方法: 1. OpenStack Dashboard:OpenStack 提供了一个名为 Horizon 的 Web 界面,可以用于监控和管理 OVN。在 Horizon 中,你可以查看网络拓扑图、查看和管理逻辑交换机、查看和管理逻辑端口等。 2. OVN Central 数据库:OVN 使用一个中央数据库来存储网络配置和状态信息。你可以使用命令行工具或者 API 来查询和监控这些信息。例如,使用 `ovn-nbctl` 命令可以查看逻辑交换机、逻辑端口以及其他相关信息。 3. OVN Northbound 和 Southbound 数据库:OVN 还使用 Northbound 数据库和 Southbound 数据库来存储与外部网络的连接信息。你可以使用 `ovn-nbctl` 和 `ovn-sbctl` 命令来查询和监控相关信息。 4. Open vSwitch(OVS)工具:OVN 是建立在 Open vSwitch 上的,因此你可以使用 OVS 相关的工具来监控 OVN。例如,使用 `ovs-vsctl` 命令可以查看和管理 OVS 的交换机和端口信息。 5. 第三方监控工具:除了上述方法,你还可以使用第三方的监控工具来监控 OVN。例如,Prometheus 和 Grafana 是常用的组合,可以通过 OVN 的监控 API 获取数据,并进行可视化展示和报警。 这些方法可以帮助你监控和管理 OVN,确保网络的稳定性和性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值