OpenStack网络指南(22)原生Open vSwitch防火墙驱动

历史上,Open vSwitch(OVS)不能直接与iptables交互以实现安全组。 因此,OVS代理和计算服务在每个实例(VM)和OVS集成桥br-int之间使用一个Linux网桥来实现安全组。 Linux桥设备包含与实例有关的iptables规则。 一般来说,实例和物理网络基础设施之间的附加组件会导致可扩展性和性能问题。 为了缓解这些问题,OVS代理包括可选的防火墙驱动程序,它将OVS中的安全组原生地实现为流,而不是Linux桥和iptables,从而提高可扩展性和性能。

先决条件

本地OVS防火墙实现需要针对conntrack的内核和用户空间支持,因此需要最低版本的Linux内核和Open vSwitch。 所有情况都需要Open vSwitch版本2.5或更高版本。
- 内核版本4.3或更新版本包括conntrack支持。
- 内核版本3.3,但小于4.3,不包括conntrack支持,并且需要构建OVS模块。

开启原生OVS防火墙驱动

在运行Open vSwitch代理的节点上,编辑openvswitch_agent.ini文件并启用防火墙驱动程序。

[securitygroup]
firewall_driver = openvswitch
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值