Neutron 默认安全组规则 - 每天5分钟玩转 OpenStack(115)

最新推荐文章于 2024-03-01 10:25:20 发布
最新推荐文章于 2024-03-01 10:25:20 发布
阅读量540 收藏 1
点赞数
分类专栏: openstack
原文链接:https://mp.weixin.qq.com/s?__biz=MzIwMTM5MjUwMg==&mid=2653587516&idx=1&sn=e1d76ee4186384ffe297c2273888af1d&chksm=8d308025ba4709333b380944fb540c165e2ffe86b0a9d6b19dfd42e4c2d098817f1cc8eab31c&scene=21#wechat_redirect
版权

Neutron 为 instance 提供了两种管理网络安全的方法:安全组(Security Group)和虚拟防火墙。

安全组的原理是通过 iptables 对 instance 所在计算节点的网络流量进行过滤。虚拟防火墙则由 Neutron Firewall as a Service(FWaaS)高级服务提供。其底层也是使用 iptables,在 Neutron Router 上对网络包进行过滤。

这两种安全方案我们都会讨论,本章先重点学习安全组。

默认安全组

每个 Project(租户)都有一个命名为 “default” 的默认安全组。点击菜单 Project -> Compute -> Access & Security,查看 Security Group 列表。

图片

点击,查看 “default” 安全组的规则。

“default” 安全组有四条规则,其作用是:允许所有外出(Egress)的流量,但禁止所有进入(Ingress)的流量

当我们创建 instance 时,可以在 “Access & Security” 标签页中选择安全组。如果当前只有 “default” 这一个安全组,则会强制使用 “default” 。

图片

当前在 devstack-controller 上有 instance “cirros-vm1”。

图片

在 devstack-controller 上执行 iptables-save 命令查看相关规则。iptables 的规则较多,这里我们节选了 cirros-vm1 相关的规则。这些规则是 Neutron 根据安全组自动生成的。如果大家想深入理解 iptables,可 google 相关文档。

图片

cirros-vm1 的 TAP interface 为 tap8bca5b86-23,可以看到:

1. iptables 的规则是应用在 Neutron port 上的,port 在这里是 cirros-vm1 的虚拟网卡 tap8bca5b86-23。
 

2. ingress 规则集中定义在命名为 “neutron-linuxbri-i8bca5b86-2” 的 chain 中。
 

3. egress  规则集中定义在命名为 “neutron-linuxbri-o8bca5b86-2” 的 chain 中。

下面我们通过 dhcp namespace 对 cirros-vm1 进行 ping 和 ssh 测试。

图片

无法 ping 和 ssh cirros-vm1,可见当前的规则实现了 “default” 安全组,所有 ingress 流量都被禁止。

下节我们会创建新的安全组允许 ping 和 ssh

诸葛钢铁云
关注
专栏目录
openstack安全规则
qq_19396231的博客
11-06 2029
http://www.aboutyun.com/thread-8964-1-1.html       参考官方资料You must modify the rules for the default security group because users cannot access instances that use the default group from   any IP ad...
默认安全规则
weixin_45137389的博客
05-27 2615
系统会为每个用户默认创建一个安全默认安全规则是在出方向上的数据报文全部放行,入方向访问受限,安全内的弹性云服务器无需添加规则即可互相访问。 如图1所示。 图1默认安全 默认安全规则如表1所示: 表1默认安全规则 方向 协议 端口范围 目的地址/源地址 说...
安全默认规则
wang645372816的专栏
11-13 3197
我们将聊聊系统自动创建的默认安全和你自己创建的安全默认规则。 PS:安全是有状态的。如果数据包在出方向(Outbound)被允许,那么对应的此连接在入方向(Inbound)也被允许。更多有关安全的相关概念,请参见安全。 一、系统自动创建的默认安全 在一个地域创建ECS实例时,如果当前账号在这个地域里尚未创建安全,你可以选择系统自动创建的默认安全默认安全中的默认规则仅...
默认OpenStack安全:如何更改规则
weixin_33911824的博客
07-04 203
OpenStack安全让管理员可以控制进入云计算实例的流量。但是, 有一个问题,在默认是否可以更改规则? 首先,没有类似于默认OpenStack安全这样的事。每个项目都有自己的默认,它在管理员开始一个新项目之时就已经创建。 这些安全带有标准规则,不允许对该项目中的实例进行访问。默认OpenStack安全始终以这种方式传递,因为它直接从Ope...
Neutron 功能概述 - 每天5分钟玩转 OpenStack(65)
CloudMan6的博客
07-27 5011
从今天开始,我们将学习 OpenStack 的 Networking Service,Neutron。 本节首先讨论 Neutron 提供了哪些功能?
配置 DHCP 服务 - 每天5分钟玩转 OpenStack(89)
CloudMan6的博客
09-21 1959
前面章节我们看到 instance 在启动过程中能够从 Neutron 的 DHCP 服务获得 IP,本节将详细讨论其内部实现机制。
搭建 OpenStack 实验环境 - 每天5分钟玩转 OpenStack(16)
CloudMan6的博客
04-03 4553
本节我们搭建 OpenStack 实验环境:一个控制节点 + 一个计算节点
获取 metadata 过程详解 - 每天5分钟玩转 OpenStack(167)
CloudMan6的博客
03-24 2190
l3-agent 让 instance 获取到了 metadata,具体是如何实现的?本节详细分析。
获取 metadata 的完整例子 - 每天5分钟玩转 OpenStack(166)
cpongo881
03-22 366
我们将通过实验详细分析 instance 从 nova-api-metadata 获取信息的完整过程。 环境介绍 1. 一个 all-in-one 环境(多节点类似)。 2. 已创建 neutron 网络test_net,DHCP 已启动。...
修改openstack默认安全规则
u014706515的博客
11-30 5559
因为项目有一个新的需求,需要修改openstack中每次新建租户后的默认安全规则。 首先先来分析一下: 我用的openstack版本为queens。每次新建租户后本来是没有安全的,当使用新租户第一次访问dashboard的安全列表或者调用API时,openstack会自动的为该租户创建一个default安全,有4条规则。如图 大意就是 1)允许使用该安全的虚拟机向外部发送一切...
neutron安全
jason的笔记
10-11 1534
在access & secure下面可以看到默认安全, 点击manager rules可以看到安全规则。 分别针对ipv4 和ipv6 允许所有外出(Egress)的流量,但禁止所有进入(Ingress)的流量 点击create secure group新建安全 可以看到已经生成了新的安全 点击manager r
Neutron安全
最新发布
qq_53058639的博客
03-01 321
Rules 来定义 ACCEPT 操作集合,所以本质是一个 White List(白名单)ACL,即不支持显式的 DENY 操作(默认 DENY ALL)。这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~④50份安全攻防面试指南。⑨历年CTF夺旗赛题解析。⑥HW护网行动经验总结。⑦100个漏洞实战案例。
Openstack安全规则说明
weixin_33828101的博客
10-18 213
   openstack安全规则,主要是在网络控制器,nova-network中进行的端口限制,所以我们需要对规则进行定制。 定制通用安全规则 通用安全规则主要包括2个,1是支持ping的icmp协议,2是支持ssh的远程登录规则。 点击“编辑规则” 点击“添加规则” 选择我们要使用的规则,这里我们要连续对"default"规则添加基础的2项,即icmp规则和ssh规...
Openstack平台测试-1.配置安全规则
花有重开日,人无再少年。
04-18 1859
Openstack实训 任务一 配置安全规则 1、配置安全规则,操作:点击项目,选择下方的Compute,选择访问&安全,在管理规则default处,点击添加规则。 2、在添加规则处选择“ALL ICMP”,远程处选择CIDR,CIDR处填写0.0.0.0/0。 3、继续添加规则,在规则处SSH,远程选择CIDR,CIDR处填写0.0.0.0/0。 4、以下为配置好的default安全规则。 ...
OpenStack Neutron安全机制探索
weixin_43851330的博客
02-20 1448
过去一直以为,neutron安全是由iptables实现,网上不少文章也印证这个想法,他们的依据如下图: ovs的Port不具备安全功能,因此接入一个qbr-xxx的bridge,这个bridge的实现载体是Linux Bridge,借助iptables实现防火墙功能——原本我也是这么认为的。 直到有一次,在查找具体的安全iptables规则时,并没有发现相关的rules,对此产生了怀疑。 查看ml2_conf.ini的配置文件后,发现我们环境中的firewall driver是openvswitc
带着问题了解Openstack Neutron安全
HULK一线技术杂谈
11-09 2223
女主宣言 本文出自于ADDOPS团队,该文章作者李文新是360 HULK云平台容器化及虚拟化平台运维开发工程师,负责网络模块的设计与开发。本文是由他最近解决的一个Openstack Neutron安全问题所触发而写,让我们跟随作者的思路一起来了解Neutron Security Group和一般网络问题的解决思路吧。 PS:丰富的一线技术、多元化的表现形式,尽在“HULK一线技术杂谈”,点关
添加默认安全规则-openstack
weixin_34232617的博客
09-17 962
if [ "$1" ] ;then neutron security-group-rule-create --direction ingress --ethertype ipv4 --remote-ip-prefix 0.0.0.0/0 --protocol icmp $1 --id `cat /proc/sys/kernel/random/uuid` & neutron ...
理解Neutron默认安全规则及其iptables实现
iptables的规则集被分为了两个链, ingress规则集定义在“neutron-linuxbr-i8bca5b86-2”链中,而egress规则集定义在“neutron-linuxbr-o8bca5b86-2”链中。 当尝试通过dhcpnamespace对“cirros-vm1”进行ping和SSH...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值