neutron security group

最新推荐文章于 2024-01-05 09:58:25 发布
最新推荐文章于 2024-01-05 09:58:25 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: neutron
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maidi_1983/article/details/46840221
版权

概述

       Neutron 安全组,是端口级别的安全手段,这一点跟fwass是区别的,fwass是子网间的流量安全防护,比如,同一租户的subnet A 与subnet B 之间,一般生效在子网间的路由器上,neutron原生实现是通过Iptables来做,业界厂商像cisco是由 VSA 来做的,fwass不在本文的描述范围。回到安全租,安全租是不仅仅局限在L2,L3也是可以的,L2,L3是解决网络连通性问题,而安全组,解决端口级别的安全问题,两个不同的侧面,所以,在neutron里,network本身是隔离的,为什么安全组还是有存在必要。安全组的安全语义是:属于同一个安全组的所有port可以访问的,因为,安全组默认有两条规则,出方向默认可以出去,入方向默认同安全组的可以进来。


API 模型

      neutron 安全组,有两个对象,一个是security_group,另一个是security_group_rule,一个security_group里可以包含若干个security_group_rule,详细API 模型及支持的操作请参考: Security Group API

    安全组通过port 生效在虚拟机上,port,security_group和security_group_rule的关系图如下:



安全组分类

安全组分位用户定义和系统默认的,系统默认安全组,是当port没绑定安全组的任何安全组的时候,系统自动绑定的安全组,默认安全组是属于租户级别的

,关于对端的指定,既可以通过字段remote_ip_prefix,也可以通过字段remote_group_id 来指定,推荐使用 remote_ip_prefix来指定,这样在数据面的生成的iptables规则要少的多。


安全组的生成过程

当创建的port的时候,



--麦地--冰山烈焰
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Openstack: Security Group: Neutron & Dragonflow;port_security_enabled;allowed_address_pairs
mzhan017的博客
02-04 391
搜索到的资料,供参考。 https://docs.openstack.org/developer/dragonflow/specs/security_groups.html Neutron的实现是在OVS桥和VM端口之间路径上添加了一个Linux桥。Linux桥是通过IP table 规则来实现端口的安全组。(因为OVS不支持iptables的配置) Current Neutron implementation adds a linux bridge in the path between each por
Neutron总结-security group
创新是灵魂,执行是生命。
07-31 2779
Neutron 为 instance 提供了两种管理网络安全的方法: 安全组和虚拟防火墙。 安全组的原理是通过 iptables 对 instance 所在计算节点的网络流量进行过滤。 虚拟防火墙则由 Neutron Firewall as a Service(FWaaS)高级服务提供。其底层也是使用 iptables。
neutron安全组
jason的笔记
10-11 1513
在access & secure下面可以看到默认的安全组, 点击manager rules可以看到安全组的规则。 分别针对ipv4 和ipv6 允许所有外出(Egress)的流量,但禁止所有进入(Ingress)的流量 点击create secure group新建安全组 可以看到已经生成了新的安全组 点击manager r
Neutron安全组分析(一)
xiakewudi的专栏
08-08 1108
1.       neutron安全组介绍 neutron安全组由L2 Agent来实现,也就是说L2Agent,比如 neutron-linuxbridge-agent,会将安全组规则转换成IPTables规则。一般发生在所有计算节点上,可以作用于任何进出虚拟机的流量。 2.       数据模型 2.1 eutron安全组共涉及五张表: Ports                   
neutron安全组分析(四)
xiakewudi的专栏
08-08 671
4.3.   安全组删除 1、 Neutron-client发送deletesecuritygroup消息(消息中包含要删除的安全组信息)给neutron-server,neutron-server调用securitygroupplugin中的delete_security_group方法处理消息; 2、 在delete_security_group方法中检查安全组是否绑定port
65-Neutron 功能概述1
08-08
对于安全性,Neutron采用两种主要机制:Security Group和Firewall-as-a-Service(FWaaS)。Security Group通过iptables规则限制进出实例的网络流量,保护实例安全。FWaaS则进一步控制虚拟路由器的网络流量,同样基于...
openstack网络模块详解.pptx
09-18
在实际部署中,还需要考虑安全性(如通过firewall-dmz规则)、负载均衡(通过haproxy或Octavia)和网络策略(通过neutron security group)等方面,以满足不同场景的需求。此外,Neutron还支持多种网络插件,如ML2,...
OpenStack Networking Essentials
04-17
Secure instances using Neutron's security group functionality About the Author James Denton has more than 15 years of experience in system administration and networking and has been deploying, ...
130-将 instance 部署到 OVS Local Network1
08-08
这样的网络架构设计是因为Open vSwitch当前不支持直接在与其连接的tap设备上设置iptables规则,而Security Group功能的实现依赖于iptables。因此,引入了一个额外的Linux Bridge qbrfc1c6ebb-71和一对veth pair来...
我自己工作当中使用的openstack操作手册
03-16
使用neutron命令行,我们可以创建网络、子网、端口,并配置安全组规则,如`neutron net-create`来创建网络,`neutron subnet-create`创建子网,`neutron security-group-rule-create`添加安全组规则。 3. **Cinder*...
【openstack】Neutron实验三安全组基本概念和操作步骤(附源码)
zsWang9的博客
04-17 2095
    该实验是在SDNLab的未来网络学院学习肖宏辉的《Openstack Neutron应用入门》课程时,借助其实验平台所做的实验。同样也适应其他环境想要自学openstack的小伙伴。    实验平台:https://www.sdnlab.com/experimental-platform/(也可以使用自己搭建的openstack环境)    该实验是在实验二的基础上进行的,所以在看本实验之...
neutron源码分析】create_network/create_subnet/create_port源码分析
qq_42533216的博客
09-07 1455
1. network源码分析 通过执行命令创建网络上,neutron net-create xxxxx 首先neutronclient发送HTTP请求给neutron-server,调用create函数。 def create(self, request, body=None, **kwargs): self._notifier.info(request.context, self._resource + '.create.s...
4. [Instance&SecurityGroup]简单配置向导及说明
Michael_XiaoQ的博客
07-13 284
登录租户tom,使用tom用户创建云主机实例vms001:  配置VM的网络:创建成功后,进入vms001控制台console: 查看IP地址:或者如下图所示: 现在考虑的是如何从外网访问虚拟机?有两种方式:[pub-ex 提供外网IP分配] 第一种: IP地址是pub-ex分配的(点击旁边的+号) 第二种:[供参考]    最终显示成功分配给实例VM的公有IP地址如下: 有了公有IP之后,从外部...
neutron 安全组代码实现(一)
一名运维开发工程师的日常记录
01-05 1064
安全组创建create请求由controller处理,调用create函数,self._notifier.info 这里先init 了neutron-lib库中的rpc.py中的NOTIFIER,然后调用oslo_message发送了一个info的通知 security_group.create.start, 调用。因为event是events.BEFORE_RESPONSE,所以最终执行了self._notify_loop,最终执行了callback。最终发送cast广播出去了。
neutron 安全组代码实现(二)
最新发布
一名运维开发工程师的日常记录
01-05 512
由前面安全组代码实现一中,我们知道,最终执行了ML2 plugin的create_security_group_rule 方法,由类继承我们知道最终执行了 SecurityGroupServerNotifierRpcMixin.create_security_group_rule, 函数中执行了父类sg_db.SecurityGroupDbMixin 中的create_security_group_rule。最终执行了refresh_firewall , 最终调用firewall driver更新。
ML2PortSecurityExtensionDriver is working
Tomstrong_369的专栏
10-29 2111
在openstack的kilo版本终于加上了这个ML2PortSecurityExtensionDriver,这样在openstack里做NFV的实验就会轻松很多,因为很多时候需要让流量通过VM;Openstack kilo的最新port-security介绍文档如下 http://specs.openstack.org/openstack/neutron-specs/specs/kilo/ml2
OpenStack Tacker介绍 - 4.neutron sfc特性集成
linyonghui1213的专栏
10-10 2634
1、简单介绍:    sfc(Service Function Chain)是提供一种动态建立服务链使不同租户的流量可以按照不同顺序导向不同的服务功能模块。其概念类似于策略路由, 即SFC使网络报文流量走特定的路径,而不是通过IP目的地址来查看路由表得最终目的地。    sfc 应用于SDN网络技术中, 通常用来联同NetworkFunction Virtualization(网络功能虚拟化)
我非要捅穿这 Neutron(二)上层资源模型篇
烟云的计算
03-13 2744
目录 文章目录目录Neutron 的资源模型Network运营商网络和租户网络创建运营商网络创建租户网络创建外部网络Network 小结SubnetIP 核心网络服务SubnetPools 资源模型Multi-Segments创建 SubnetNetwork 与 Subnet 的一对多关系PortNeutron 安全组(Security Group)可用地址对(Allowed address pa...
openstack neutron的所有命令行
03-31
28. neutron security-group-rule-create <group-id>:创建一个新的安全组规则 29. neutron security-group-rule-delete <rule-id>:删除指定的安全组规则 30. neutron security-group-rule-list <group-id>:列出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值