何使用OVN ACL策略控制虚拟机之间的网络不通和互通

最新推荐文章于 2022-12-22 17:47:08 发布
最新推荐文章于 2022-12-22 17:47:08 发布
阅读量418 收藏
点赞数
分类专栏: 虚拟化技术 文章标签: ovn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rongyongfeikai2/article/details/120505976
版权

1.环境,两台虚拟机(两台虚拟机绑定交换机acl_sw)

acl_v1 内部IP:24.130.26.124 外部ip:10.67.2.34 接口名:mnet2
acl_v2 内部IP:24.130.26.251 外部ip:10.67.2.33 接口名:mnet1

2.虚拟机之间不互通,但虚拟机允许特定IP机器SSH它

#阻止所有到acl_v1、acl_v2的流量
ovn-nbctl acl-add acl_sw to-lport 0 'outport == "mnet2" && ip' drop
ovn-nbctl acl-add acl_sw to-lport 0 'outport == "mnet1" && ip' drop


#允许与网关通信(out-lr路由器连到acl_sw交换机上的网卡接口ip)

ovn-nbctl acl-add acl_sw to-lport 1000 'outport == "mnet2" && ip4.src == 24.130.26.1/32' allow-related
ovn-nbctl acl-add acl_sw to-lport 1000 'outport == "mnet1" && ip4.src == 24.130.26.1/32' allow-related


#只允许10.67.1.154 可以访问
ovn-nbctl acl-add acl_sw to-lport 1000 'outport == "mnet2" && ip4.src == 10.67.1.154/32' allow-related
ovn-nbctl acl-add acl_sw to-lport 1000 'outport == "mnet1" && ip4.src == 10.67.1.154/32' allow-related

3.还原,虚拟机之间可以互通

ovn-nbctl acl-del acl_sw
rongyongfeikai2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux相关权限和ACL策略
weixin_47191983的博客
09-11 329
一.访问权限 读取:允许查看内容-read 利用r表示 写入:允许修改内容-write 利用w表示 可执行:允许运行和切换-excute 利用x表示 二.归属关系 – 所有者:拥有此文件/目录的用户-user 利用u表示 – 所属组:拥有此文件/目录的组-group利用g表示 – 其他用户:除所有者、所属组以外的用户-other利用o表示 三.查看文件或目录,权限与归属关系 执行 ls -l … … 命令查看,输出信息包括7个字段 ** 以-开头:文本文件** 以d开头:目录 以l开头:快捷方式
云计算应用管理:(基本权限和归属、附加权限、ACL策略管理)
weixin_45819515的博客
10-05 439
每天一遍yum仓库构建: [root@localhost ~]# mkdir /nsd30 [root@localhost ~]# mount /dev/cdrom /nsd30 [root@localhost ~]# ls /nsd30 [root@localhost ~]# rm -rf /etc/yum.repos.d/* [root@localhost ~]# vim /etc/yum.repos.d/nsd.repo [nsd] name=centos baseurl=file:///n
SDN控制器之OVN实验五:配置OVN网络安全功能(ACL
筋斗云计算
07-19 2864
本文通过使用OVN访问控制列表(ACL)来实现基本的网络安全功能。 OVN访问控制列表和地址集介绍 OVN中的ACL规则存储于北向数据库的ACL表中,并且可以使用ovn-nbctl的acl命令进行配置。目前,ACL只能应用于逻辑交换,但是未来将支持应用到逻辑路由器。 在出站和入站方向都支持使用ACL: 入站:从工作负载(t
ovn acl功能
fengcai_ke的博客
07-09 1126
ovn acl功能
ovn:中央节点ip变更导致节点失联
shunzi2016的博客
12-22 165
1.当ovn的中央节点ip突然变更(从3.197->1.114)后,便再无法同节点之间进行信息的同步。7.这样便能恢复节点之间bfd-status检查,同时恢复中央节点对转发节点的chassis管理。2.已将节点的ovn-remote变更到最新的中央节点ip。3.但是进行ovn-controller 检测时却显示失败。5.最后发现原来是中央节点的连接IP地址还没改过来。6.现在我们需要将连接重置,并将地址配置成最新。4.通过telnet 测试6642 端口失败。
homelab-ovn使用OVN替换第3层交换
02-04
homelab-ovn使用OVN替换第3层交换
OVN大二层网络解决方案-V1.0
12-09
OVN兼容主流网络厂商的大二层网络技术,虚拟...通过在二层报文前插入额外的帧头,并采用路由计算的方式控制数据的转发L2 over L3技术,将二层数据报文封装在三层报文中,跨越中间的三层网络实现两地二层网络互通
ovn-docker:通过OVN向Docker提供网络虚拟
04-29
在“覆盖”模式下,OVN可以在多个主上运行的容器之间创建逻辑网络。 这是一个单租户(可根据工作负载的安全特性扩展到多租户),多主解决方案。 在这种模式下,您不需要预先创建的OpenStack设置。 为了使两种...
kube-ovn:功能丰富且易于操作的企业级Kubernetes网络结构
02-02
网络策略:通过高性能ovn ACL实施network.k8s.io/NetworkPolicy API。 用于工作负载的静态IP地址:为工作负载分配随或静态IP地址。 DualStack IP支持:Pod可以在仅IPv4 /仅IPv6 / DualStack模式下运行。 Pod NAT...
ovn:开放式虚拟网络
03-10
OVN(开放虚拟网络)是一系列守护程序,可将虚拟网络配置转换为OpenFlow,并将其安装到Open vSwitch中。 它已获得开源Apache 2许可证的许可。 OVN提供了比Open vSwitch更高的抽象层,可用于逻辑路由器和逻辑交换...
ovn-nbctl手册.pdf
03-22
针对ovn v2.12.0版本,根据man ovn-nbctl整理的ovn-nbctl中文使用手册,详细介绍了各命令的使用方法及限制条件。
vmware vcsa-6.5 网络架构之虚拟的标准交换
weixin_30296405的博客
11-14 1507
一、配置虚拟网络  1、概述(esxi 比workstation,vmware server,网络功能更强大) workstation和vmware server每块物理网卡可以给多个虚拟使用,多个物理网卡不能同时给一个或多个虚拟,esxi,可以将主的多个网卡绑定成一个虚拟交换分配给虚使用来提高虚拟网络性能及容错功能。 可以将虚拟与物理网络连接 虚拟虚拟网卡》虚拟...
Kube-OVN v1.10.0:新增Windows节点支持,用户自定义子网ACL等10+硬核功能
alauda_andy的博客
05-24 324
在Kube-OVN社区小伙伴的共同努力下,Kube-OVN v1.10.0于五月份正式发布。Kube-OVN v1.10.0版本中,我们一如既往地对Kube-OVN 的功能、性能、稳定性和易用性进行了大幅强化。包括 新增Windows 节点的支持,用户自定义子网级 ACL,EIP/SNAT/DNAT CRD 拆分,Submariner 集成,DPDK 支持,Kubevirt VM 静态 IP 等 10+ 项新功能上线。同时我们对控制平面性能进行了多项优化,大幅提升了大规模集群的网络创建和更新速度。 ...
OVN架构
bobi的博客
07-31 1623
OVN VS Neutron
为OpenStack而生的SDN控制器——OVN
筋斗云计算
02-17 3952
OVN 会给Neutron相当大的性能提升
ovn-软件定义网络(二)
weixin_34961895的博客
12-04 334
ACL控制规则测试 架构设计如下: 环境搭建完成后,用VM1 ping R2VM1时,网络正常。 ovn-nbctl acl-add ly-ls from-lport 1000 “inport == “ls-port1” && ip” allow-related 允许来自交换“ly-ls”上端口“ls-port1”的所有ip流量,同时允许相关回包通过 查看北向数据库的ACL表 ...
OVN架构原理
热门推荐
虾米的博客
11-27 1万+
ovn-architecture OVN架构OVN(即Open Virtual Network)是一款支持虚拟网络抽象的软件系统。OVN在OVS现有功能的基础上原生支持虚拟网络抽象,例如虚拟L2,L3覆盖网络以及完全组。诸如DHCP,DNS的服务也是其关注的内容。就像OVS一样,OVN的设计目标是可以大规模运行的高质量生产级实施方案。OVN部署由以下几个组件组成
OVNOVN OpenStack(二)
cuibin1991的专栏
05-25 1353
OpenStack networking-ovn 项目为Neutron提供了一个基于ML2的OVN插件,它使用OVN组件代替了各种Neutron的Python agent,也不再使用 RabbitMQ,而是基于OVN数据库进行通信:使用 OVSDB 协议来把用户的配置写在 Northbound DB 里面,ovn-northd 监听到 Northbound DB 配置发生改变,然后把配置翻译到 Southbound DB 里面,ovn-controller 注意到 Southbound DB 数据的变化,然
使用ovn-trace分析OVN 逻辑流表(Logical Flow)
筋斗云计算
09-30 5183
在本篇文章中,我将解释什么是Logical Flow以及如何使用ovn-trace去更好地理解它们。同时,我也会用一些例子来解释,为什么使用Logical Flow这种抽象模型能让新特性的添加变得出乎意料的简单。
kube-ovn项目详细介绍,物超所值
最新发布
11-07
- Kube-OVN基于OVS/OVN的成熟技术,支持子网管理、静态IP分配、分布式/集中式网关、混合网络模式(底层/覆盖)、VPC多租户网络、跨集群通信、QoS控制、多网卡管理、ACL、流量镜像等,满足不同场景的需求。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值