OpenStack网络指南(22)原生Open vSwitch防火墙驱动

最新推荐文章于 2022-11-28 14:59:43 发布
最新推荐文章于 2022-11-28 14:59:43 发布
阅读量1.9k 收藏
点赞数
分类专栏: openstack网络指南 文章标签: openstack

历史上,Open vSwitch(OVS)不能直接与iptables交互以实现安全组。 因此,OVS代理和计算服务在每个实例(VM)和OVS集成桥br-int之间使用一个Linux网桥来实现安全组。 Linux桥设备包含与实例有关的iptables规则。 一般来说,实例和物理网络基础设施之间的附加组件会导致可扩展性和性能问题。 为了缓解这些问题,OVS代理包括可选的防火墙驱动程序,它将OVS中的安全组原生地实现为流,而不是Linux桥和iptables,从而提高可扩展性和性能。

先决条件

本地OVS防火墙实现需要针对conntrack的内核和用户空间支持,因此需要最低版本的Linux内核和Open vSwitch。 所有情况都需要Open vSwitch版本2.5或更高版本。
- 内核版本4.3或更新版本包括conntrack支持。
- 内核版本3.3,但小于4.3,不包括conntrack支持,并且需要构建OVS模块。

开启原生OVS防火墙驱动

在运行Open vSwitch代理的节点上,编辑openvswitch_agent.ini文件并启用防火墙驱动程序。

[securitygroup]
firewall_driver = openvswitch
fyggzb
关注
专栏目录
【重识云原生】第四章云网络4.8.3.1节——Open vSwitch简介
junbaozi的专栏
07-06 1160
Open vSwitch(下文简称 OvS)就是一个开源的虚拟交换机实现。广泛应用在云计算行业,为网络管理员提供虚拟云主机之间和之内的流量可见性与可控性。Open vSwitch 旨在用虚拟化方案解决网络问题,与控制器软件一起实现分布式的虚拟交换技术。这意味着,交换机和控制器软件能够在多个服务器之间创建集群网络配置,从而不需要在每一台云主机和物理主机上单独配置网络。这个交换机还支持 VLAN 中继,通过 NetFlow、sFlow 和 RSPAN 实现可见性,通过 OpenFlow 协议进行管理。.....
【重识云原生】第四章云网络4.8.5节——OpenDayLight
junbaozi的专栏
07-09 649
OpenDayLight项目成立于2013年4月,是由Linux基金会管理管理的开源SDN项目。项目的目的是提供一个开放的,全功能的,厂商中立的SDN解决方案。目前ODL有超过40个公司作为成员,例如Cisco,IBM,Huawei等。.........
Openstack防火墙安全的区别
03-19
本文讲述了OpenStack防火墙安全的区别,写的很详细。供大家学习。
OpenStack防火墙
davidstack
08-05 1749
作者:张华  发表于:2012-4-10 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.csdn.net/quqi99 ) iptables提供了全面的协议状态跟踪、数据包的应用层检查、速率限制、过滤策略。 iptables策略是由一有序的规则建立的,它告诉内核该如何处理数据包。而规则应用于
OpenStack中的防火墙 ( by quqi99 )
热门推荐
技术并艺术着
04-10 1万+
OpenStack中的防火墙 ( by quqi99 ) 作者:张华 发表于:2012-4-10 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.csdn.net/quqi99 ) iptables提供了全面的协议状态跟踪、数据包的应用层检查、速率限制、过滤策略。 iptables策略是由一有序的规则
openstack创建防火墙
weixin_43186741的博客
03-09 1151
This extension introduces these resources: firewall. A logical firewall resource that a project can instantiate and manage. A firewall can have one firewall policy. 翻译:防火墙。 项目可以实例化和管理的逻辑防火墙资源。 防火墙可以有一...
Neutron印象8: OpenStack中的防火墙
jincm的专栏
08-20 1980
OpenStack中的防火墙 ( by quqi99 ) 作者:张华  发表于:2012-4-10 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.csdn.net/quqi99 ) iptables提供了全面的协议状态跟踪、数据包的应用层检查、速率限制、过滤策略。 iptables策略是由一有序的规则建立的,它告诉内
盘他!openstack中neutron 插件,DHCP,Linux Bridge,Open vSwitch三个代理的基础理论!
CN_TangZheng的博客
03-04 1394
- neutron插件,地理服务层次结构如下: - 今天主要介绍ML2插件和二层代理与三层代理中的DHCP
OpenvSwitch 子项目 OVN 功能介绍(一)
最新发布
lingshengxiyou的博客
11-28 482
众所周知,OpenvSwitch 以其丰富的功能和不错的性能,已经成为 Openstack 部署中最受欢迎的虚拟交换机。由于 Openstack Neutron 的架构引入了一些性能问题,比如 neutron-server 要与非常多的 agent 通信,RPC 就是一个性能瓶颈,还有 neutron 里面用到非常多的 namespace,namespace 资源有限而且系统开销比较大,这也是一个性能瓶颈。
【重识云原生】第四章云网络4.8.3.2节——Open vSwitch工作原理详解
junbaozi的专栏
07-07 895
OVS整体架构,用户空间主要件有数据库服务ovsdb-server和守护进程ovs-vswitchd。kernel中是datapath内核模块。最上面的Controller表示OpenFlow控制器,控制器与OVS是通过OpenFlow协议进行连接,控制器不一定位于OVS主机上,下面分别介绍图中各件。 .........
Openstack 中的防火墙规则分析
weixin_34380948的博客
07-20 299
上周花了几天研究了一下Openstack的Security Group防火墙规则,总结下上周的成果。一、介绍下我的环境。操作系统:RHEL6.4+Openstack官方内核 Openstack版本:Havana 网络模式:ML2+Linuxbridge 租户网络:VLAN二、Iptables 流向INPUTneutron-linuxbri-...
openstack FWaaS 防火墙项目因缺少维护者被弃用
xin053
08-25 988
介绍 熟悉防火墙的都知道,防火墙一般放在网关上,用来隔离子网之间的访问。因此,防火墙即服务(FireWall as a Service)也是在网络节点上(具体说来是在路由器命名空间中)来实现。 目前,OpenStack实现防火墙还是基于 Linux 系统自带的 iptables,所以大家对于其性能和功能就不要抱太大的期望了。 一个可能混淆的概念是安全(Security Group),安全的对象是虚拟网卡,由L2 Agent来实现,比如neutron_openvswitch_agent 和 neutr
ovs conntrack based firewall driver (by quqi99)
技术并艺术着
04-20 7036
作者:张华 发表于:2016-04-20 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.csdn.net/quqi99 ) 我们知道,Neutron security group特性是基于iptables实现的,iptables规则只能作用于linux bridge,不能作用于ovs bridge上,所以在VM...
OpenStack防火墙功能实现介绍
mr1jie的博客
11-14 2200
OpenStack防火墙功能实现介绍防火墙功能介绍FWaaS v1创建防火墙更新防火墙删除防火墙其他操作总结 防火墙功能介绍 OpenStack防火墙的核心是防火墙策略和防火墙规则,策略是一防火墙规则集合,规则是由一匹配条件(如端口范围、协议、IP地址),以及对匹配流量采取的操作(allow、deny); 策略可以设置成public,跨project使用; 防火墙的功能实现有很多方式,取决于d...
centos7.2安装mysql
yuner027的专栏
05-17 429
1、yum install mariadb mariadb-server python2-PyMySQL 2、修改配置文件 [mysqld] bind-address = 10.0.0.11 default-storage-engine = innodb innodb_file_per_table = on max_connections = 4096 collation-server
openstack neutron-fwaas 防火墙iptables实现细节详解
m0_37313888的博客
02-21 929
我在操作neutron-fwaas的时候发现了一个有趣的现象 当我设置了目的ip为114.114.114.114的包可以通过防火墙时,内部的虚拟机可以ping通114.114.114.114 但是仔细一想这么做难道没问题吗?因为即使内部的ping 114.114.114.114的包可以通过防火墙,114.114.114.114的返回的包仍然无法通过啊 于是我从iptables的变化来看了...
OpenVSwitch(1):Ovs Install
门前车马非为贵,家有读书不为贫
09-09 270
$head -n 1 /etc/issue(查看操作系统)   $uname -r(查看内核版本)     $yum install gcc git(非必须) build-essential(非必须) openssl libcap-devel libcgroup autoconf   $mkdir -p /opt/src   $cd /opt/src   $wget
openstackiptables的使用
Liping Mao's Blog
09-13 8361
openstack中nova使用了iptables实现网络相关功能,乍看openstackiptables表比较复杂,整理了一下iptables的filter表和nat表的结构,以一个all in one的openstackiptables表为例,展示了iptablesopenstack中的使用。 Refer: http://www.ibm.com/developerw
openvswitch笔记
imgrass的博客
10-11 1117
… 不定期更新
优化OpenStack网络架构:基于OpenvSwitch的设计方案
本论文通过对OpenStack网络理论模型和实际网络划分进行深入分析,结合OpenvSwitch,提出了一种优化的网络架构设计方案。该方案旨在最大化硬件性能,确保服务的稳定性和可靠性,并适应未来云计算平台的发展需求。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值