Neutron securitygroup 分析及配置

最新推荐文章于 2024-06-22 17:34:52 发布
最新推荐文章于 2024-06-22 17:34:52 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: OpenStack 文章标签: openstack security ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leej0612/article/details/19966905
版权
OpenStack havana release on Ubuntu 13.10
Neutron + OpenvSwitch plugin
1.需要修改的配置文件
Edit /etc/neutron/plugins/openvswitch/ovs_neutron_plugin.ini
[securitygroup]
# Firewall driver for realizing neutron security group function.
# firewall_driver = neutron.agent.firewall.NoopFirewallDriver
firewall_driver = neutron.agent.linux.iptables_firewall.OVSHybridIptablesFirewallDriver

Edit /etc/nova/nova.conf
firewall_driver=nova.virt.firewall.NoopFirewallDriver
security_group_api=neutron

2.重启服务
service nova-api restart
service nova-compute restart
service neutron-plugin-openvswitch-agent restart

对应的代码为:_add_rule_by_security_group() in /usr/share/pyshared/neutron/agent/linux/iptables_firewall.py on Compute Node.
对应的log文件为: /var/log/neutron/openvswitch-agent.log

简单分析:securitygroup是通过iptable来实现控制进出VM(虚拟机)流量的一种机制,以前是由Nova实现的,现在则由Neutron中的agent实现,如采用OpenvSwitch plugin则由其位于计算节点上的neutron-plugin-openvswitch-agent实现iptable规则的添加。

leej0612
关注
专栏目录
Openstack: Security Group: Neutron & Dragonflow;port_security_enabled;allowed_address_pairs
mzhan017的博客
02-04 435
搜索到的资料,供参考。 https://docs.openstack.org/developer/dragonflow/specs/security_groups.html Neutron的实现是在OVS桥和VM端口之间路径上添加了一个Linux桥。Linux桥是通过IP table 规则来实现端口的安全组。(因为OVS不支持iptables的配置) Current Neutron implementation adds a linux bridge in the path between each por
Neutron — 安全组
烟云的计算
10-11 1387
Neutron Security Group 用于针对 Neutron Port 粒度进行 ACL 安全防护,支持设置多条 Security Group Rules 来定义 ACCEPT 操作集合,所以本质是一个 White List(白名单)ACL,即不支持显式的 DENY 操作(默认 DENY ALL)。在 Linux Kernel 中,网络连接状态记录功能由 CT(connection tracker)模块提供,作为 Netfilter 状态防火墙的支撑。
neutron安全组
jason的笔记
10-11 1549
在access & secure下面可以看到默认的安全组, 点击manager rules可以看到安全组的规则。 分别针对ipv4 和ipv6 允许所有外出(Egress)的流量,但禁止所有进入(Ingress)的流量 点击create secure group新建安全组 可以看到已经生成了新的安全组 点击manager r
OpenStack securityGroup rule Set
weixin_34416649的博客
10-11 133
OpenStack securityGroup rule Set OpenStack DBaas 云数据即服务之☞troveError 1,with OpenStack Networking launch an instance VMs 前创建Cloud image public key pair 2,launch an insta...
OpenStack之nova(计算服务)
andrew6_success的博客
12-25 945
部署条件: 在安装和配置Compute服务之前,必须创建数据库、服务凭据和API端点。 1、创建数据库 (1)使用数据库访问客户端作为root连接到数据库服务器: mysql -u root -p123 (2)创建nova_api、nova和nova_cell0数据库: CREATE DATABASE nova_api; CREATE DATABASE nova; CREATE DATABASE ...
Neutron总结-security group
创新是灵魂,执行是生命。
07-31 2838
Neutron 为 instance 提供了两种管理网络安全的方法: 安全组和虚拟防火墙。 安全组的原理是通过 iptables 对 instance 所在计算节点的网络流量进行过滤。 虚拟防火墙则由 Neutron Firewall as a Service(FWaaS)高级服务提供。其底层也是使用 iptables。
Openstack安装与配置第五部分(neutron篇)
最新发布
需要远程指导仿真实验、代码有问题的,请后台私信或者关注公众号
06-22 784
在Linux操作系统上进行OpenStackneutron安装部署
(十一)OpenStackneutron-网络服务介绍及安装配置
Until_U的博客
07-19 2165
1、neutron网络介绍 (1)neutron基本概念 网络连接服务 面向租户API接口,用于创建虚拟网络、路由器、负载均衡、关联网络接口至指定网络和路由 通过API接口管理虚拟或物理交换机 提供Plugin架构来支持不同的技术平台 Neutron Private Network——提供固定私网地址 Neutron Public Network——提供浮动IP 地址 (2)neutron关键概念 Network 一个L2网络单元 租户可通过Neutron API创建自...
Openstack实验之network0的neutron的安装与配置
weixin_43303023的博客
06-20 703
neutron(network0)安装与配置 1.实验目的 ①安装network0必备组件 ②在network端配置网络服务 2.neutron组件 neutron包括如下组件: neutron-server:负责接收用户发送的请求,转发至后端处理 neutron-l3-agent:负责instance和外部网络交互,即DNAT和SNAT neutron-dhcp-agent:负责 云网络中的动态地址分配 neutron-metadata-agent:网络元数据服务 neutron-openvswitch
openstack安装(七)nova服务控制节点安装
wzj_110的博客
05-05 703
(1) 1:'计算节点有多个' 2:'每一个计算节点就是一台kvm的物理宿主机' (2)nova服务组件 nova-api 服务 --->'接收和响应来自最终用户的计算API请求' nova-api-metadata 服务 --->'查虚拟机的信息' nova-compute 服务 --->'管理虚拟机的生命周期;支持多种虚拟化技...
OpenStack 计算服务Nova [四]
i4t abcdocker的博客
11-28 4331
OpenStack 计算服务Nova [四]标签(空格分隔): openstack 时间:2016年11月28日 博客地址:www.abcdocker.com 公众号:abcdockerNova简介:  Nova是openstack最早的两块模块之一,另一个是对象存储swift。在openstack体系中一个叫做计算节点,一个叫做控制节点。这个主要和nova相关,我们把安装为计算节点nova-
启用 SR-IOV 解决 Neutron 网络 I/O 性能瓶颈
mabin2005的专栏
05-13 1937
目录: 目录 目录: 前文列表 前言 Neutron 的网络实现模型 基于虚拟网络设备的虚拟机流量走向 基于虚拟网络设备的性能瓶颈 在 Neutron 中引入 SR-IOV 技术 基于 SR-IOV 技术的虚拟机流量走向​编辑 Neutron 配置启用 SR-IOV SR-IOV 与 NUMA 亲和 SR-IOV 与 VLAN tag SR-IOV 与安全组 前文列表 《SR-IOV 网卡虚拟化技术》 前言 该文章是基于「计算机系统应用」月刊文章《SR-I...
openstackNeutron实验三安全组基本概念和操作步骤(附源码)
zsWang9的博客
04-17 2132
    该实验是在SDNLab的未来网络学院学习肖宏辉的《Openstack Neutron应用入门》课程时,借助其实验平台所做的实验。同样也适应其他环境想要自学openstack的小伙伴。    实验平台:https://www.sdnlab.com/experimental-platform/(也可以使用自己搭建的openstack环境)    该实验是在实验二的基础上进行的,所以在看本实验之...
内容安全策略 Content-Security-Policy
热门推荐
qq_30436011的博客
10-24 3万+
1、限制资源获取:限制网页当中一系列的资源获取的情况,从哪里获取,请求发到哪个地方限制方式:default-src限制全局的和链接有关的作用范围根据资源类型(connect-src、img-src等),限制资源范围2、报告资源获取越权:在网页当中获取了一些我们不应该获取的资源的时候,给服务进行报告,报告资源获取越权,然后做出调整之所以报这个错误,就是我们加了这个头的作用。这个时候 inline脚本还是不能执行的。如果引入外链的脚本文件,则会报错,这样就可限制,只能使用我们本站使用的脚本。
Openstack Nova Security Group——安全组之架构篇
成长的足迹
03-12 1万+
哈,又回来了! 公司同事说不要只停留在逻辑层,你要对跑在你程序底下的数据流也要非常的清楚。但是这里还是先介绍一下逻辑层,在代码的角度看是如何实现这个功能的,关于底层的数据流,还需要哦酝酿一段时间,之后会再总结一篇底层数据流的文章,真难为我了! 一、什么是安全组 安全组,翻译成英文是 security group。安全组是一些规则的集合,用来对虚拟机的访问流量加以限制,这反映到
Neutron中的网络I/O虚拟化
dolphin98629的专栏
03-25 1625
为了提升网络I/O性能,虚拟化的网络I/O模型也在不断的演化: 1,全虚拟化网卡(emulation),如VMware中的E1000用来仿真intel 82545千兆网卡,它的功能更完备,如相比一些半虚拟化的网卡(如vmnet3)会对vlan的支持更好(这点可参见我的另一篇博客《Vmware中的虚拟网络》一文:http://blog.csdn.net/quqi99/article/details
Neutron安全组分析(一)
xiakewudi的专栏
08-08 1129
1.       neutron安全组介绍 neutron安全组由L2 Agent来实现,也就是说L2Agent,比如 neutron-linuxbridge-agent,会将安全组规则转换成IPTables规则。一般发生在所有计算节点上,可以作用于任何进出虚拟机的流量。 2.       数据模型 2.1 eutron安全组共涉及五张表: Ports                   
OpenStack安装流程(juno版)- 添加网络服务(neutron
weixin_34019929的博客
12-06 150
在controller节点上安装和配置 创建nova的数据库,服务证书和API端点 创建数据库:使用root身份进入数据库: $ mysql -u root -p创建nova数据库:<pre>CREATE DATABASE neutron;</pre> 把neutron数据库的访问权限赋予名为neutron,来自任...
linux加载虚拟sriov网卡,网卡直通SR-IOV技术
weixin_39781323的博客
05-02 1601
相关技术IO虚拟化简介全虚拟化通过VMM来模拟IO设备实现,VMM截获GuestOS的IO请求,通过软件模拟真实的硬件。VMM必须处理所有虚机的IO请求,然后将所有的IO情况序列化为可以被底层硬件处理的单一IO流。好处是GuestOS不需要考虑硬件设备的情况。问题是效率相对较低。例如 qemu。一个完整的数据包从虚拟机到物理机的路径是:虚拟机--QEMU虚拟网卡--虚拟化层--内核网桥--物理网卡...
Neutron 使用OVS的配置文件示例
06-11
[ovs_securitygroup] firewall_driver = neutron.agent.linux.iptables_firewall.OVSHybridIptablesFirewallDriver ``` 在这个示例配置中,使用了 OVS 作为虚拟交换机,L2 agent 支持 VXLAN 隧道协议,开启了分布式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值