OpenStack(Stein)在Neutron配置FWAAS_v2

最新推荐文章于 2023-11-08 09:23:33 发布
最新推荐文章于 2023-11-08 09:23:33 发布
阅读量1.3k 收藏 1
点赞数 1
分类专栏: 云计算 文章标签: openstack 云服务 云安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41037945/article/details/108666356
版权

之前的文章在rocky上配置了,现在换成了Stein,重新试一下。但是原本的步骤好像不太能用了,在官网重新找guide。

移除

FWaaS in Stein - NoMatches: No ‘neutron.service_plugins’ driver found, looking for ‘firewall’
然后呢,为什么不一样呢,看这里
在这里插入图片描述
之前我配置的其实是fwaas的v1版本,我以为是v2,然后呢,我在Stein中用v1的时候,报错neutron.service_plugins中找不到叫firewall的插件。这是因为v1在Stein及以后版本已经被彻底移除了,也就是说只能用v2了。

差别

v2中使用firewall group替代了firewall,一个firewall可以有ingress的策略和egress的策略,这里我可以理解为一个防火墙组可以有两个策略?
然后,v1的firewall和router是唯一绑定的。而v2是可以指定路由接口,这个接口在这里找到。
在这里插入图片描述
如果port配置错了,会报错

安装配置

Firewall-as-a-Service (FWaaS) v2 scenario
先安装一下,我不知道官网为什么不用安装,好神奇。

yum install -y openstack-neutron-fwaas

编辑配置文件/etc/neutron/neutron.conf,如果字段不存存在,直接写进去

service_plugins = firewall_v2

[service_providers]
service_provider = FIREWALL_V2:fwaas_db:neutron_fwaas.services.firewall.service_drivers.agents.agents.FirewallAgentDriver:default

编辑/etc/neutron/fwaas_driver.ini

[fwaas]
agent_version = v2
driver = neutron_fwaas.services.firewall.service_drivers.agents.drivers.linux.iptables_fwaas_v2.IptablesFwaasDriver
enabled = True

编辑/etc/neutron/l3_agent.ini,我觉得大小写问题不大吧。

[AGENT]
extensions = fwaas_v2
# 或者
[agent]
extensions = fwaas_v2

同步数据库

neutron-db-manage --subproject neutron-fwaas upgrade head

重启服务,然后查看一下status

systemctl restart neutron.server neutron.l3_agent

然后呢,好像不太能使用neutron了,会提示没有资源,只能使用openstack firewall group list,防火墙组的操作。
而且会默认添加一些基本的防火墙规则。

失败的示例,看后面测试

我发现自带的两个防火墙组分别是demo和admin的。
创建规则

openstack firewall group rule create --name my_172_icmp_in_deny --protocol icmp --ip-version 4 --destination-ip-address 172.16.1.231 --action deny
openstack firewall group rule create --name my_10_icmp_out_allow --protocol icmp --ip-version 4 --source-ip-address 10.0.0.71 --action allow

创建策略

openstack firewall group policy create --firewall-rule 1d51a2cf-0464-4d9e-b2f8-4115b33f96da my_172_in_policy
openstack firewall group policy create --firewall-rule 7087333a-1c1d-4064-9fe0-b3307392f9bd my_10_out_policy

创建防火墙组

openstack firewall group create --ingress-firewall-policy 53b73cb6-a22e-4f20-954a-f2a077979308 --egress-firewall-policy bf37adaf-569e-4a0f-97f3-38f05c6b3d36 --name demo_firewall_group

默认会有两个default防火墙组,因为有两个用户,然后呢,demo用户 的default防火墙得让admin删除好像。
但是删除自己的default以后,他又会自动生成一个默认防火墙,好奇怪。

测试

创建一条规则

openstack firewall group rule create --name my_10_icmp_out_allow --protocol icmp --ip-version 4 --source-ip-address 10.0.0.71 --action deny

添加到规则中

openstack firewall group policy rule add ac24a8df-ae37-4730-87bb-e591f1dbc24f 7087333a-1c1d-4064-9fe0-b3307392f9bd

查看一下防火墙组openstack firewall group list,如果状态是inactive,看看是不是没有绑定端口之类的。

+-------------------+--------------------------------------+
| Field             | Value                                |
+-------------------+--------------------------------------+
| Description       | Default firewall group               |
| Egress Policy ID  | ac24a8df-ae37-4730-87bb-e591f1dbc24f |
| ID                | 5f4d3688-46bd-4f45-a2b9-3406e0fc7f0b |
| Ingress Policy ID | d864c42e-6908-4398-82ef-1a66f1e77f23 |
| Name              | default                              |
| Ports             | []                                   |
| Project           | 09baebcf699543f68e4687f2231e4e88     |
| Shared            | False                                |
| State             | UP                                   |
| Status            | INACTIVE                             |
| project_id        | 09baebcf699543f68e4687f2231e4e88     |
+-------------------+--------------------------------------+

执行下面命令,绑定接口

openstack firewall group set default --port 0d7f9409-ec6d-40a5-8be5-404b9e4957e0

然后启动两个实例,在10.0.0.71中ping172.16.1.231,ping不通,设置成功。

待解决问题

删除default后可能会自动再创建一个default。

BluePROT
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openstackneutron防火墙fwaas配置和使用
代码讲故事
05-25 837
示例配置文件 Sample fwaas_driver.ini [DEFAULT] [fwaas] # # From firewall.agent # # Name of the FWaaS Driver (string value) #driver = # Enable FWaaS (boolean value) #enabled = false # Firewall agent class (string value) #agent_version = v2 # Name of the FW
插件加载过程以及neutron-server服务端RPC监听建立简析
idwtwt的专栏
03-07 1286
参考setuptools:http://yansu.org/2013/06/07/learn-python-setuptools-in-detail.htmlstevedore插件加载:http://blog.csdn.net/gqtcgq/article/details/49620279一、stevedore简要介绍stevedore是用来实现动态加载代码的开源模块。它是在OpenStack中用...
Firewall-as-a-Service (FWaaS) v1场景
redwingz的博客
07-04 646
使能 FWaaS v1 FWaaS管理选项可在Dashboard上使用。 在配置文件/etc/neutron/neutron.conf中使能FWaaS插件: service_plugins = firewall [service_providers] # ... service_provider = FIREWALL:Iptables:neutron.agent.linux.iptables...
OpenStack Firewall-as-a-Service (FWaaS) v2 场景
redwingz的博客
07-06 1869
使能 FWaaS v2版本 在文件/etc/neutron/neutron.conf中使能FWaaS插件: service_plugins = firewall_v2 [service_providers] # ... service_provider = FIREWALL:Iptables:neutron.agent.linux.iptables_firewall.OVSHybridIpt...
OpenStack(Rocky)安装FWaaS v2
RBK的博客
03-06 1763
FWaaS巴拉巴拉 网上关于这个的配置我觉得是真的不多啊,或者就是不太能用,研究了一下午,总结一下。 其实我的实例还是没法ping虚拟机,但是实例之间可以通过路由ping通,目前就够了。 环境 OpenStack(Rocky)(RDO安装) CentOS 7 10G RAM 45G 硬盘 安装 先安装FWaaS yum install openstack-neutron-fwaas -y 开...
OpenStack防火墙功能实现介绍
mr1jie的博客
11-14 2165
OpenStack防火墙功能实现介绍防火墙功能介绍FWaaS v1创建防火墙更新防火墙删除防火墙其他操作总结 防火墙功能介绍 OpenStack防火墙的核心是防火墙策略和防火墙规则,策略是一组防火墙规则集合,规则是由一组匹配条件(如端口范围、协议、IP地址),以及对匹配流量采取的操作(allow、deny); 策略可以设置成public,跨project使用; 防火墙的功能实现有很多方式,取决于d...
openstack-neutron-fwaas-13.0.2-1.el7.noarch.rpm
12-28
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
openstack-neutron-fwaas-15.0.0-0.1.0rc1.el7.noarch.rpm
12-28
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
OpenStack网络组件Neutron的研究
01-30
-Openstack网络组件的发展历程-Neutron的结构-NeutronServer的结构-Neutron配置Openstack在2010年正式发布它的第一个版本Austin的时候,nova-network作为它的核心组件被包含其中。nova-network的功能主要有:IP...
深入理解 Neutron -- OpenStack 网络实现openstack_understand_neutron.rar
03-24
深入理解OpenStack Neutron 本资料共包含以下附件: 深入理解 Neutron -- OpenStack 网络实现openstack_understand_neutron.rar
openstack_understand_Neutron:介绍OpenStack Neutron项目的原理和实施细节
04-27
深入理解 Neutron -- OpenStack 网络实现 是 OpenStack 项目中负责提供网络服务的组件,它基于软件定义网络的思想,实现了网络虚拟化下的资源管理。本书将剖析 Neutron 组件的原理和实现。在线阅读: 或 。pdf 版本...
Linux下查看防火墙状态报错Unit iptables.service could not be found
热门推荐
lgc的博客
11-18 2万+
原文链接:https://blog.csdn.net/sshuidajiao/article/details/82594504 linux下查看防火墙状态 [root@localhost src]# service iptables status Redirecting to /bin/systemctl status iptables.service Unit iptables.service...
openstack neutron 一路的坑
qq_22362139的博客
02-25 2444
neutron版本R版 今天测试防火墙API时遇到一个奇怪现象,api接口404, { "NeutronError":{ "message":"Theresourcecouldnotbefound.", "type":"HTTPNotFound", "detail":"" } } 然后使用opens...
防火墙启动报错 Failed to start firewalld.service: Unit is
bei0312454的专栏
08-31 954
一、故障现象1、启动防火墙# systemctl start firewalldFailed to start firewalld.service: Unit is masked.(启动防火墙失败:防火墙被锁定)二、解决方法1、防火墙解锁# systemctl unmask firewalld输出如下结果:Removed symlink /etc/systemd/system...
openstack——neutron网络服务
weixin_30426957的博客
06-05 433
一、neutron 介绍: Neutron 概述 传统的网络管理方式很大程度上依赖于管理员手工配置和维护各种网络硬件设备;而云环境下的网络已经变得非常复杂,特别是在多租户场景里,用户随时都可能需要创建、修改和删除网络,网络的连通性和隔离不已经太可能通过手工配置来保证了。 如何快速响应业务的需求对网络管理提出了更高的要求。传统的网络管理方式已经很...
OpenStack Neutron:网络类型示意图(local、flat、vlan、vxlan);网络产品简介(dnsmasq、floating IP、安全组、FWaaS、LBaaS)
最新发布
顺其自然~专栏
11-08 1437
FWaaS配置落在虚拟router的network namespac的iptables中,表项匹配了虚拟router上相应的租户网络所在的port(猜测,devstack部署的环境无法启用FWaaS功能。外网其实就是特殊的flat网络或vlan网络,需要在openstack创建时,勾选“外部网络”。外网一定程度上可以理解为非租户网络,因为外网是打通租户网络和物理网络的枢纽,外网是不会挂VM的。外网一定程度上可以理解为非租户网络,因为外网是打通租户网络和物理网络的枢纽,外网是不会挂VM的。
openstack(Queens版) 安装FWaaS
m0_37313888的博客
01-16 3104
首先,我的环境是ubuntu16.04 网上我看到只有这一篇博客讲了安装步骤,不过我按这篇博客的方法走下来发现dashboard与fwaas都有问题.........简直了,然后就自己按照官方文档配了一遍,发现官方文档也有问题。。 1.关于安装dashboard 开始我是按照neutron-fwaas-dashboard的官方文档安装的,结果在下面这个地方遇到问题,无法汉化,在此记录 ....
neutron-server加载neutron_lbaas service plugins
02-21 616
Table of Contents 0. systemctl status neutron-server:获取neutron-server 脚本入口... 2 1. /usr/bin/neutron-server:Main 函数入口... 2 2. cmd/eventlet/server/__init__.py:main函数实现... 3 3. server/wsgi_eventlet.py:wsgi_eventlet.eventlet_wsgi_server 函数实现... 3 4. se...
注意,neutron中service_plugins所配置的值一定要注意顺序
gkzl1026的博客
11-22 617
注意,neutron中service_plugins所配置的值一定要注意顺序
zed enable_neutron_fwaas 版本
06-09
我明白了你的问题。我认为你想知道哪个版本的 OpenStack 支持 neutron_fwaas 功能。 neutron_fwaasOpenStack 中的一个模块,它提供了防火墙服务。它的可用性取决于你使用的 OpenStack 版本和你的配置。在某些版本的 OpenStack 中,neutron_fwaas 可能需要手动启用。这通常涉及到编辑 /etc/neutron/neutron.conf 和 /etc/neutron/plugins/ml2/ml2_conf.ini 配置文件以启用相应的插件和服务。 在 OpenStack 的版本中,neutron_fwaas 的可用性有所不同。在一些版本中,这个功能是默认启用的,而在其他版本中,你需要手动启用它。以下是一些 OpenStack 版本中 neutron_fwaas 的可用性情况: - 在 OpenStack Ocata 版本中,neutron_fwaas 是一个核心功能,它默认启用。 - 在 OpenStack Pike 版本中,neutron_fwaas 仍然是核心功能,但它需要手动启用。 - 在 OpenStack Queens 版本中,neutron_fwaas 被移动到了 extra 服务列表中,需要手动启用。 需要注意的是,这只是一些版本的示例。不同的发行版和版本可能会有不同的配置和功能可用性。如果你需要更具体的信息,请参考官方文档或向 OpenStack 社区寻求支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值