Neutron安全组分析(二)

最新推荐文章于 2021-03-03 11:09:01 发布
最新推荐文章于 2021-03-03 11:09:01 发布
阅读量569 收藏
点赞数
分类专栏: neutron
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiakewudi/article/details/76900365
版权

4.1.   安全组创建


1、 Neutron-client发送createsecuritygroup消息(消息中包含要创建的安全组信息)给neutron-server,neutron-server调用securitygroupplugin中的create_security_group方法处理消息;

2、 在create_security_group方法中根据安全组是否默认安全组进行处理。如果是默认安全组,则将安全组加入到SecurityGroup表和DefaultSecurityGroup表,并创建默认安全组规则;如果不是默认安全组,则检查默认安全组是否存在,如不存在,则创建默认安全组和默认安全组的默认规则,然后将安全组加入到SecurityGroup表。

3、 securitygroup plugin会回应createsecuritygroup result给neutron-client。创建成功则返回创建的安全组信息;失败则返回失败原因。

代码如下:

neutron.db.securitygroups_db.py

class SecurityGroupDbMixin(ext_sg.SecurityGroupPluginBase)

def create_security_group(self, context, security_group,default_sg=False):

        """Create securitygroup.

 

        If default_sg is true that means we area default security group for

        a given tenant if it does not exist.

        """

        s = security_group['security_group']

        kwargs = {

            'context': context,

            'security_group': s,

            'is_default': default_sg,

        }

        # NOTE(armax): a callback exceptionhere will prevent the request

        # from being processed. This is a hookpoint for backend's validation;

        # we raise to propagate the reason forthe failure.

        try:

            registry.notify(

                resources.SECURITY_GROUP,events.BEFORE_CREATE, self,

                **kwargs)

        except exceptions.CallbackFailure as e:

            raiseext_sg.SecurityGroupConflict(reason=e)

 

        tenant_id =self._get_tenant_id_for_create(context, s)

 

        if not default_sg:  

#如果不是默认安全组,需要确认默认安全组是否存在,如不存在,则创建.

           self._ensure_default_security_group(context, tenant_id)

 

        withdb_api.autonested_transaction(context.session):

            #添加到SecurityGroup

            security_group_db =SecurityGroup(id=s.get('id') or (

                                             uuidutils.generate_uuid()),

                                             description=s['description'],

                                              tenant_id=tenant_id,

                                             name=s['name'])

           context.session.add(security_group_db)

            if default_sg:  #如果是默认安全组,则添加到DefaultSecurityGroup表

               context.session.add(DefaultSecurityGroup(

                   security_group=security_group_db,

                   tenant_id=security_group_db['tenant_id']))

            for ethertype inext_sg.sg_supported_ethertypes:

                if default_sg:

                    # Allow All

                    remote_ip_prefix = '0.0.0.0/0' \

                            if ethertype is'IPv4' else '::/0'

                    #创建默认安全组的默认规则

                    ingress_rule =SecurityGroupRule(

                       id=uuidutils.generate_uuid(), tenant_id=tenant_id,

                       security_group=security_group_db,

                        direction='ingress',

                        ethertype=ethertype,

                       remote_ip_prefix=remote_ip_prefix)

                   context.session.add(ingress_rule)

 

                    egress_rule =SecurityGroupRule(

                       id=uuidutils.generate_uuid(), tenant_id=tenant_id,

                       security_group=security_group_db,

                        direction='egress',

                        ethertype=ethertype)

                   context.session.add(egress_rule)

 

        secgroup_dict =self._make_security_group_dict(security_group_db)

 

        kwargs['security_group'] =secgroup_dict

        registry.notify(resources.SECURITY_GROUP,events.AFTER_CREATE, self,

                        **kwargs)

        return secgroup_dict

xiakewudixl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openstack修改增加网卡及更改ip
a18073359319的博客
06-08 1057
openstack修改增加网卡及更改ip 1、neutron更改及mysql数据库更改网卡及ip: neutronport-updateae22c84b-22a9-4618-b046-1eb61379bcea --allowed-addres...
neutron安全分析(三)
xiakewudi的专栏
08-08 420
4.2.   安全更新 1、 Neutron-client发送updatesecuritygroup消息给neutron-server,neutron-server调用securitygroupplugin中的update_security_group方法处理消息; 2、 在update_security_group方法中直接更新安全表项。 3、 securitygroup
neutron安全分析(四)
xiakewudi的专栏
08-08 674
4.3.   安全删除 1、 Neutron-client发送deletesecuritygroup消息(消息中包含要删除的安全信息)给neutron-server,neutron-server调用securitygroupplugin中的delete_security_group方法处理消息; 2、 在delete_security_group方法中检查安全是否绑定port
创建安全
weixin_30435261的博客
09-05 441
创建安全 安全相关功能点 模块功能点描述备注 安全 创建安全 创建安全时指定安全名称和描述 修改安全 修改安全名称 删除安全 同时删除一个安全或多个安全 添加安全规则 ...
openstack虚拟机配置vip
u011659193的博客
02-22 4150
openstack配置vip 1.导入环境变量 source admin-openrc.sh 2.执行命令neutron net-list查看网络,找到自己需要设置的网络,获取subnet_id和network_id 3.创建port来占用ip,保证neutron不会将此IP在分配出去,导致IP冲突问题。 neutron port-create --fixed-ip subnet_id=<s...
006.Neutron详解1
08-08
- 涉及网络拓扑设计、网络策略配置、安全设定等工作。 Neutron是OpenStack的核心件之一,通过上述技术提供了强大的网络服务,满足了云环境中复杂的网络需求,实现了灵活的网络配置和资源隔离。
OpenStack-Neutron网络基本概念
最新发布
07-01
其中包括:网络、子网、路由器、端口、安全、浮动IP、以上是一些OpenStack Neutron的基本概念,它们共同构成了OpenStack云环境中的网络基础设施。在实际使用中,可以通过Neutron API或者OpenStack的管理界面来创建...
OpenStack环境搭建ELK日志分析系统.zip
07-22
在OpenStack环境中,Elasticsearch可以用来快速索引和查询各种OpenStack服务的日志,如Nova、Neutron、Cinder等,帮助管理员迅速定位问题。 其次,Logstash是一个数据处理管道,它负责接收来自不同源的日志数据,...
neutron_lbaas_pike-devops-bed
03-17
1. **OpenStack Neutron**: OpenStack Neutron是OpenStack的网络服务,它允许用户创建和管理虚拟网络,包括路由器、子网、安全等,为OpenStack云环境提供了灵活的网络架构。 2. **Load Balancing as a Service ...
openstack虚拟机修改IP地址 - 针对neutron ovs port
wanghuiict 的CSDN博客
03-29 5302
neutron的设计,ovs port是网络端口,每个ovs port有固定ip(fixed ip)地址。这个固定ip地址,一般不去修改。 管理员创建ovs port时,通过命令neutron port-create,参数 --fixed-ip subnet_id=,ip_address=,可以人为指定一个ip地址。dashboard界面创建ovs port,固定ip是系统自动分配的。
openstack 虚地址创建
xiangjai的专栏
05-03 728
步骤: 一、登陆到openstack后台,根据路径 项目->网络→网络, 找到对应网络 、进入网络详情界面,创建端口 三、根目录(环境变量所在目录),执行环境变量 [root@controller ~]# source admin-openrc 四、执行neutron port-l...
neutron N版qos介绍
赤焰军
11-18 3699
本文详细介绍了N版qos功能的配置、使用和原理。
python openstack vpc互通_深入浅出新一代云网络——VPC中的那些功能与基于OpenStack Neutron的实现(四)-云主机vip与vip绑定浮动IP...
weixin_39938522的博客
12-13 241
在openstack环境创建的多台云主机配置keepalived作主备,默认情况下无法生效,直接对云主机一张网卡配置两个IP进行测试也是同样结果,因为:可以看到,port所在的宿主机上iptables 对 MAC地址和IP进行了限制。所以需要如下操作:pre. 确认云主机网卡port_idnova interface-list [vm_id]1. 确认 ml2 配置中arp_responde...
openstack---neutron commands list
Rachel Wang的little tree
11-07 530
This is got from neutron help. usage: neutron [--version] [-v] [-q] [-h] [-r NUM]                [--os-service-type ]                [--os-endpoint-type ]                [--service-type ]    
nova与neutron交互
热门推荐
赤焰军
06-27 1万+
1     nova命令 先介绍一下nova命令中与网络相关的一些参数。   1.1   指定网络启动虚机 usage: nova boot [--flavor ] [--image ]                  [--image-with ] [--boot-volume ]                  [--snapshot ] [--min-coun
neutron 同一虚拟网卡的多个IP设置
weixin_34050519的博客
09-18 185
neutron port-update <端口ID> --fixed-ip subnet_id=<子网ID/子网名>,ip_address=<IP地址> --fixed-ip subnet_id=<子网ID/子网名>,ip_address=<IP地址>  
Neutron havana allow address pairs
Liping Mao's Blog
02-18 1万+
Neutron 启用Security Group时, 会打开anti snoop功能。但是应用可能会maintain自己的VIP,这就需要用到allow address pairs。
监听模式
灰太狼
03-03 1867
目录 一、监听模式概 、代码实现 三、监听模式在openstack中的使用 1.neutron_lib.callbacks.registry模块 2.rabbitmq 一、监听模式概 监听模式(观察者模式)是指观察对象监听被观察对象,当被观察对象发生变化时,所有的观察对象都能及时的知道并且自动更新,被观察对象和观察对象之间的关系是1对多。 、代码实现 在示例中waterHeater类相当于一个被观察对象,WashingMode和DrinkingMode类相当于观察对象,water.
neutron plugin源码分析
06-09
neutron 的插件部分负责实现具体的网络功能,如虚拟网络、路由、安全等。在 neutron 中,插件是通过扩展 neutron 的核心服务来实现的。因此,插件的代码位于 `neutron/services` 目录下。 插件的实现一般需要继承...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值