openstack FWaaS 防火墙项目因缺少维护者被弃用

于 2020-08-25 15:36:21 发布
阅读量975 收藏 2
点赞数
分类专栏: openstack 文章标签: openstack FWaaS 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouzixin053/article/details/108222021
版权
OpenStack的防火墙即服务(FWaaS)由于维护问题被弃用,其功能主要由安全组提供。FWaaS通过虚拟路由器上的iptables规则控制网络包,而安全组在计算节点上限制虚拟网卡的访问。尽管FWaaS可以与安全组配合提供双重防护,但其v1/v2版本的局限性及不支持混杂模式端口导致其最终被移除。
摘要由CSDN通过智能技术生成

介绍

熟悉防火墙的都知道,防火墙一般放在网关上,用来隔离子网之间的访问。因此,防火墙即服务(FireWall as a Service)也是在网络节点上(具体说来是在路由器命名空间中)来实现。

目前,OpenStack 中实现防火墙还是基于 Linux 系统自带的 iptables,所以大家对于其性能和功能就不要抱太大的期望了。

一个可能混淆的概念是安全组(Security Group),安全组的对象是虚拟网卡,由L2 Agent来实现,比如neutron_openvswitch_agentneutron_linuxbridge_agent,会在计算节点上通过配置 iptables 规则来限制虚拟网卡的进出访问。防火墙可以在安全组之前隔离外部过来的恶意流量,但是对于同个子网内部不同虚拟网卡间的通讯不能过滤(除非它要跨子网)。

可以同时部署防火墙和安全组实现双重防护。

架构

FWaaS 是通过在其所在 tenant 中的所有 Virtual Router 上添加 iptbales 规则来实现对进出数据网络的网络包进行控制的。

防火墙控制进出租户网络的网络包。对不经过 Virutal Router 的网络包不起作用
在这里插入图片描述

与安全组对比

这里需要说明的是 FWaasSecurity Group (安全组) 的区别。安全组规则在连接到一个实例的计算节点上的Linuxqbr 上实施,FWaaS 创建的防火墙规则在租户网络边缘实现的虚拟路由器上实施。 FWaaS 并不旨在取代安全组的功能,并且它提供更为补充安全组,特别是在其当前实现状态下。 FWaaS 目前缺乏安全组提供的一些功能,包括无法指定通信的方向等。与此相反,安全组,也因为他们缺乏创建特定规则拒绝所有流量的能力,因此需要 FWaas 作为补充
在这里插入图片描述

部署

kolla-ansible 剧本 global.yml 文件中打开 enable_neutron_fwaas 开关,并 reconfigure 即可

v1 vs v2

FWaaSv1v2 两个版本,v1 的防火墙规则针对租户所有路由器的所有端口,而 v2 的粒度更小,可以针对路由器上指定端口设置规则
在这里插入图片描述
horizon 目前并不支持 FWaaS v2,虽然页面上可以显示防火墙规则以及一些信息,但是并不能绑定端口,绑定端口会报错:
在这里插入图片描述
而新版 kolla-ansible 只支持部署 v2 版本,v1 版本的支持已经移除,详见:https://review.opendev.org/#/c/668403/

使用

安装包

pip3 install python-openstackclient python-neutronclient

安装完之后,openstack firewall group 命令就是用来操作防火墙的
在这里插入图片描述
首次启用防火墙,会自动创建一个防火墙组,包含 ingress 策略和 exgress 策略,默认 ingress 策略是拒绝所有流量,默认 exgress 策略是放通所有流量

也就是默认创建的防火墙组会拒绝所有的入口流量,而放通所有的出口流量

之后我们通过给防火墙组配置端口,来实现将这些规则应用到路由器具体端口上,默认是没有指定任何端口的

openstack firewall group set --port <端口id> <防火墙组id>

openstack firewall group set --port dd0cd411-8cf3-4b3f-b9a1-c544526beaff fdcf8ccf-250e-4b69-a705-fe382ea65e83
在这里插入图片描述
但是上面命令会报错:Failed to set firewall group 'fdcf8ccf-250e-4b69-a705-fe382ea65e83': Port dd0cd411-8cf3-4b3f-b9a1-c544526beaff is not supported by firewall driver 'fwaas_db'.

查看neutron 日志:WARNING neutron_fwaas.services.firewall.service_drivers.agents.agents [req-8576c62d-0a6c-4a93-a2db-5228cfc2162e ec021436d81947aba552149b2255e137 7ed34d8be3ec41b7a29c2f9f64713486 - default default] Doesn't support hybrid port at the moment

发现是 FWaaS v2 并不支持 hybrid port (混杂模式端口)
在这里插入图片描述
最后找到官方仓库,发现因为 FWaaS 项目缺少维护者,已经被弃用,并且从 openstack U 版开始移除该功能

https://opendev.org/openstack/neutron-fwaas
在这里插入图片描述
在这里插入图片描述
详情:

xin053
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
OpenStack(Stein)在Neutron配置FWAAS_v2
RBK的博客
09-18 1355
之前的文章在rocky上配置了,现在换成了Stein,重新试一下。但是原本的步骤好像不太能用了,在官网重新找guide。 Firewall-as-a-Service (FWaaS) v2 scenario 先安装一下,我不知道官网为什么不用安装,好神奇。 yum install -y openstack-neutron-fwaas 编辑配置文件/etc/neutron/neutron.conf,如果字段不存存在,直接写进去 service_plugins = firewall_v2 [service_p
OpenStack防火墙
davidstack
08-05 1741
作者:张华  发表于:2012-4-10 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.csdn.net/quqi99 ) iptables提供了全面的协议状态跟踪、数据包的应用层检查、速率限制、过滤策略。 iptables策略是由一组有序的规则建立的,它告诉内核该如何处理数据包。而规则应用于
理解 Neutron FWaaS - 每天5分钟玩转 OpenStack(117)
weixin_33895475的博客
11-25 145
前面我们学习了安全组,今天学习另一个与安全相关的服务 -- FWaaS。理解概念 Firewall as a Service(FWaaS)是 Neutron 的一个高级服务。用户可以用它来创建和管理防火墙,在 subnet 的边界上对 layer 3 和 layer 4 的流量进行过滤。 传统网络中的防火墙一般放在网关上,用来控制子网之间的访问。 FWaaS 的原理也一样,是在 ...
Neutron印象8: OpenStack中的防火墙
jincm的专栏
08-20 1973
OpenStack中的防火墙 ( by quqi99 ) 作者:张华  发表于:2012-4-10 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.csdn.net/quqi99 ) iptables提供了全面的协议状态跟踪、数据包的应用层检查、速率限制、过滤策略。 iptables策略是由一组有序的规则建立的,它告诉内
OpenStack防火墙功能实现介绍
mr1jie的博客
11-14 2186
OpenStack防火墙功能实现介绍防火墙功能介绍FWaaS v1创建防火墙更新防火墙删除防火墙其他操作总结 防火墙功能介绍 OpenStack防火墙的核心是防火墙策略和防火墙规则,策略是一组防火墙规则集合,规则是由一组匹配条件(如端口范围、协议、IP地址),以及对匹配流量采取的操作(allow、deny); 策略可以设置成public,跨project使用; 防火墙的功能实现有很多方式,取决于d...
OpenStack中的防火墙 ( by quqi99 )
热门推荐
技术并艺术着
04-10 1万+
OpenStack中的防火墙 ( by quqi99 ) 作者:张华 发表于:2012-4-10 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.csdn.net/quqi99 ) iptables提供了全面的协议状态跟踪、数据包的应用层检查、速率限制、过滤策略。 iptables策略是由一组有序的规则
Openstack防火墙和安全组的区别
03-19
本文讲述了OpenStack防火墙和安全组的区别,写的很详细。供大家学习。
Openstack 节点维护详细讲解
09-30
对于使用KVM的节点,可能无法直接进入维护模式。在这种情况下,可以采取以下策略: - **迁移实例**:将运行在待维护节点上的VM实例迁移到其他健康的节点,这可以通过手动操作或者利用OpenStack的调度器自动进行。 ...
Openstack 创建项目和虚拟机详细介绍
09-30
主要介绍了Openstack 创建项目和虚拟机详细介绍的相关资料,这里举例说明如何实现,图文教程,需要的朋友可以参考下
openstack创建防火墙
weixin_43186741的博客
03-09 1136
This extension introduces these resources: firewall. A logical firewall resource that a project can instantiate and manage. A firewall can have one firewall policy. 翻译:防火墙项目可以实例化和管理的逻辑防火墙资源。 防火墙可以有一...
centos7.2安装mysql
yuner027的专栏
05-17 426
1、yum install mariadb mariadb-server python2-PyMySQL 2、修改配置文件 [mysqld] bind-address = 10.0.0.11 default-storage-engine = innodb innodb_file_per_table = on max_connections = 4096 collation-server
OpenStack Neutron FWaaS 学习 ( by quqi99 )
starean的专栏
06-27 1308
OpenStack Neutron FWaaS 学习 ( by quqi99 ) 作者:张华  发表于:2013-06-24 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明  ( http://blog.csdn.net/quqi99 )       OpenStack的网络组件已经从Quantum更名为Neutron了。之前Quantu
OpenStack Firewall-as-a-Service (FWaaS) v2 场景
redwingz的博客
07-06 1895
使能 FWaaS v2版本 在文件/etc/neutron/neutron.conf中使能FWaaS插件: service_plugins = firewall_v2 [service_providers] # ... service_provider = FIREWALL:Iptables:neutron.agent.linux.iptables_firewall.OVSHybridIpt...
Openstack 中的防火墙规则分析
weixin_34380948的博客
07-20 293
上周花了几天研究了一下Openstack的Security Group防火墙规则,总结下上周的成果。一、介绍下我的环境。操作系统:RHEL6.4+Openstack官方内核 Openstack版本:Havana 网络模式:ML2+Linuxbridge 租户网络:VLAN二、Iptables 流向INPUTneutron-linuxbri-...
他们为什么弃用OpenStack转向VMware vsphere
kwame211的博客
07-30 1278
他们为什么弃用OpenStack转向VMware Vsphere,一切皆为简单、高效。因为他们在工作过程中涉及到大量的测试工作,每天都有成百个虚拟机的创建和销毁工作。 工作任务非常繁重,我们的持续集成平台CI/CD也会大量和虚拟化平台进行交互。 早期,没有OpenStack的时候,他们用vmware workstation创建虚拟机编译和测试,这样效率是很低的,条件也比较艰苦,动不动磁盘就满了...
openstack(Queens版) 安装FWaaS
m0_37313888的博客
01-16 3114
首先,我的环境是ubuntu16.04 网上我看到只有这一篇博客讲了安装步骤,不过我按这篇博客的方法走下来发现dashboard与fwaas都有问题.........简直了,然后就自己按照官方文档配了一遍,发现官方文档也有问题。。 1.关于安装dashboard 开始我是按照neutron-fwaas-dashboard的官方文档安装的,结果在下面这个地方遇到问题,无法汉化,在此记录 ....
OpenStack(Rocky)安装FWaaS v2
RBK的博客
03-06 1803
FWaaS巴拉巴拉 网上关于这个的配置我觉得是真的不多啊,或者就是不太能用,研究了一下午,总结一下。 其实我的实例还是没法ping虚拟机,但是实例之间可以通过路由ping通,目前就够了。 环境 OpenStack(Rocky)(RDO安装) CentOS 7 10G RAM 45G 硬盘 安装 先安装FWaaS yum install openstack-neutron-fwaas -y 开...
openstack neutron-fwaas 防火墙之iptables实现细节详解
m0_37313888的博客
02-21 924
我在操作neutron-fwaas的时候发现了一个有趣的现象 当我设置了目的ip为114.114.114.114的包可以通过防火墙时,内部的虚拟机可以ping通114.114.114.114 但是仔细一想这么做难道没问题吗?因为即使内部的ping 114.114.114.114的包可以通过防火墙,114.114.114.114的返回的包仍然无法通过啊 于是我从iptables的变化来看了...
ocata版本openstack防火墙
吴业亮的专栏
04-04 1755
作者:【吴业亮】云计算开发工程师 博客:http://blog.csdn.net/wylfengyujiancheng1、rabbitmq# firewall-cmd --add-port={11211/tcp,5672/tcp} --permanent # firewall-cmd --reload2、ntp# firewall-cmd --add-service=ntp --permane
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值