neutron安全组分析(三)

最新推荐文章于 2022-02-20 00:27:29 发布
最新推荐文章于 2022-02-20 00:27:29 发布
阅读量420 收藏
点赞数
分类专栏: neutron
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiakewudi/article/details/76900526
版权

4.2.   安全组更新


1、 Neutron-client发送updatesecuritygroup消息给neutron-server,neutron-server调用securitygroupplugin中的update_security_group方法处理消息;

2、 在update_security_group方法中直接更新安全组表项。

3、 securitygroup plugin会回应updatesecuritygroup result给neutron-client。更新成功则返回更新的安全组信息;失败则返回失败原因。

代码如下:

neutron.db.securitygroups_db.py

classSecurityGroupDbMixin(ext_sg.SecurityGroupPluginBase)

def update_security_group(self, context, id, security_group):

        s = security_group['security_group']

 

        kwargs = {

            'context': context,

            'security_group_id': id,

            'security_group': s,

        }

        # NOTE(armax): a callback exceptionhere will prevent the request

        # from being processed. This is a hookpoint for backend's validation;

        # we raise to propagate the reason forthe failure.

        try:

            registry.notify(

                resources.SECURITY_GROUP,events.BEFORE_UPDATE, self,

                **kwargs)

        except exceptions.CallbackFailure as e:

            raiseext_sg.SecurityGroupConflict(reason=e)

 

        withcontext.session.begin(subtransactions=True):

            sg = self._get_security_group(context,id)

            if sg['name'] == 'default' and'name' in s:

                raiseext_sg.SecurityGroupCannotUpdateDefault()

            sg.update(s)   #更新安全组表项

        sg_dict =self._make_security_group_dict(sg)

 

        kwargs['security_group'] = sg_dict

       registry.notify(resources.SECURITY_GROUP, events.AFTER_UPDATE, self,

                        **kwargs)

        return sg_dict

xiakewudixl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Neutron安全
烟云的计算
10-11 1278
Neutron Security Group 用于针对 Neutron Port 粒度进行 ACL 安全防护,支持设置多条 Security Group Rules 来定义 ACCEPT 操作集合,所以本质是一个 White List(白名单)ACL,即不支持显式的 DENY 操作(默认 DENY ALL)。在 Linux Kernel 中,网络连接状态记录功能由 CT(connection tracker)模块提供,作为 Netfilter 状态防火墙的支撑。
Neutron 默认安全规则 - 每天5分钟玩转 OpenStack(115)
weixin_33704591的博客
11-21 264
Neutron 为 instance 提供了两种管理网络安全的方法: 安全(Security Group)和虚拟防火墙。 安全的原理是通过 iptables 对 instance 所在计算节点的网络流量进行过滤。 虚拟防火墙则由 Neutron Firewall as a Service(FWaaS)高级服务提供。 其底层也是使用 iptables,在 Neutron Router 上...
neutron安全
jason的笔记
10-11 1513
在access & secure下面可以看到默认的安全, 点击manager rules可以看到安全的规则。 分别针对ipv4 和ipv6 允许所有外出(Egress)的流量,但禁止所有进入(Ingress)的流量 点击create secure group新建安全 可以看到已经生成了新的安全 点击manager r
Neutron安全分析(二)
xiakewudi的专栏
08-08 569
4.1.   安全创建 1、 Neutron-client发送createsecuritygroup消息(消息中包含要创建的安全信息)给neutron-server,neutron-server调用securitygroupplugin中的create_security_group方法处理消息; 2、 在create_security_group方法中根据安全是否默认安全
neutron中的安全和防火墙
虚拟化云计算技术
04-05 3084
文章来自作者维护的社区微信公众号【虚拟化云计算】) (目前有两个微信群《kvm虚拟化》和《openstack》,扫描二维码点击“云-交流”,进群交流提问) 一。防火墙与安全区别 防火墙一般放在网关上,用来隔离子网之间的访问。因此,防火墙即服务也是在网络节点上(具体说来是在路由器命名空间中)来实现。防火墙可以在安全之前隔离外部过来的恶意流量,但是对于同个子网内部不同虚拟网卡间的通...
006.Neutron详解1
08-08
- 涉及网络拓扑设计、网络策略配置、安全设定等工作。 Neutron是OpenStack的核心件之一,通过上述技术提供了强大的网络服务,满足了云环境中复杂的网络需求,实现了灵活的网络配置和资源隔离。
OpenStack-Neutron网络基本概念
最新发布
07-01
其中包括:网络、子网、路由器、端口、安全、浮动IP、以上是一些OpenStack Neutron的基本概念,它们共同构成了OpenStack云环境中的网络基础设施。在实际使用中,可以通过Neutron API或者OpenStack的管理界面来创建...
OpenStack环境搭建ELK日志分析系统.zip
07-22
在OpenStack环境中,Elasticsearch可以用来快速索引和查询各种OpenStack服务的日志,如Nova、Neutron、Cinder等,帮助管理员迅速定位问题。 其次,Logstash是一个数据处理管道,它负责接收来自不同源的日志数据,...
neutron_lbaas_pike-devops-bed
03-17
1. **OpenStack Neutron**: OpenStack Neutron是OpenStack的网络服务,它允许用户创建和管理虚拟网络,包括路由器、子网、安全等,为OpenStack云环境提供了灵活的网络架构。 2. **Load Balancing as a Service ...
Neutron 安全 API
redwingz的博客
07-06 378
Neutron安全API Wiki地址:https://wiki.openstack.org/wiki/Neutron/SecurityGroups API扩展 API扩展时代码的"前端"部分,其处理整个工程使用的REST-ful API的定义。 REST-ful API: https://git.openstack.org/cgit/openstack/neutron/tree/neutron...
带着问题了解Openstack Neutron安全
HULK一线技术杂谈
11-09 2203
女主宣言 本文出自于ADDOPS团队,该文章作者李文新是360 HULK云平台容器化及虚拟化平台运维开发工程师,负责网络模块的设计与开发。本文是由他最近解决的一个Openstack Neutron安全问题所触发而写,让我们跟随作者的思路一起来了解Neutron Security Group和一般网络问题的解决思路吧。 PS:丰富的一线技术、多元化的表现形式,尽在“HULK一线技术杂谈”,点关
OpenStack Neutron安全机制探索
weixin_43851330的博客
02-20 1396
过去一直以为,neutron安全是由iptables实现,网上不少文章也印证这个想法,他们的依据如下图: ovs的Port不具备安全功能,因此接入一个qbr-xxx的bridge,这个bridge的实现载体是Linux Bridge,借助iptables实现防火墙功能——原本我也是这么认为的。 直到有一次,在查找具体的安全iptables规则时,并没有发现相关的rules,对此产生了怀疑。 查看ml2_conf.ini的配置文件后,发现我们环境中的firewall driver是openvswitc
neutron安全分析(四)
xiakewudi的专栏
08-08 674
4.3.   安全删除 1、 Neutron-client发送deletesecuritygroup消息(消息中包含要删除的安全信息)给neutron-server,neutron-server调用securitygroupplugin中的delete_security_group方法处理消息; 2、 在delete_security_group方法中检查安全是否绑定port
Neutron安全分析(一)
xiakewudi的专栏
08-08 1108
1.       neutron安全介绍 neutron安全由L2 Agent来实现,也就是说L2Agent,比如 neutron-linuxbridge-agent,会将安全规则转换成IPTables规则。一般发生在所有计算节点上,可以作用于任何进出虚拟机的流量。 2.       数据模型 2.1 eutron安全共涉及五张表: Ports                   
Neutron总结-security group
创新是灵魂,执行是生命。
07-31 2788
Neutron 为 instance 提供了两种管理网络安全的方法: 安全和虚拟防火墙。 安全的原理是通过 iptables 对 instance 所在计算节点的网络流量进行过滤。 虚拟防火墙则由 Neutron Firewall as a Service(FWaaS)高级服务提供。其底层也是使用 iptables。
openstack运维实战系列(六)之neutron配额调整
weixin_33724046的博客
01-20 530
1. 前言neutron在安装配置完成之后,openstack为了实现对所有tenant对网络资源的使用,针对neutron设置有专门的配额,以防止租户使用过多的资源,而对其他的tenant造成影响。和nova的quota相类似,neutron也使用单独的一个驱动来实现网络neutron的配额控制。2. neutron默认的配额neutron默认的配额针对ne...
sqlalchemy开启事务
零渡的博客
04-29 7240
开启sqlalchemy事务,网上有很多种开启事务的方式,但这里只介绍如何使用吗,不介绍原理,有兴趣的可以自行搜索。 1、使用begin开启事务 session.begin(subtransactions=True) 2、将增删查改操作每个操作完都需要 session.commit(),由于begin为后提交模式,也就是将所有的操作都提交之后,确认无错orm会自动提交,否则将会报异常错误。 ...
neutron plugin源码分析
06-09
neutron 的插件部分负责实现具体的网络功能,如虚拟网络、路由、安全等。在 neutron 中,插件是通过扩展 neutron 的核心服务来实现的。因此,插件的代码位于 `neutron/services` 目录下。 插件的实现一般需要继承 neutron 的核心服务类,例如 L3 插件需要继承 `neutron.services.l3_router.l3_router_plugin.L3RouterPlugin` 类。插件需要实现一些特定的方法来提供网络功能,例如 L3 插件需要实现 `create_router`、`update_router`、`delete_router` 等方法来管理 L3 路由器。 在插件的实现中,还需要与 neutron 的其他服务进行协同工作,如与网络代理服务通信来实现 DHCP、L3 路由等功能。为了实现这些功能,插件需要通过调用 neutron 的 API 接口、代理接口等来完成。 除了实现特定的网络功能外,插件还需要处理一些通用的网络操作,如网络异常处理、配置文件解析等。这些通用的操作一般放在插件的 `neutron/services/common` 目录下。 在插件的实现过程中,需要注意以下几个方面: 1. 实现特定的网络功能:插件需要实现特定的方法来提供网络功能,例如虚拟网络、路由、安全等。 2. 与其他服务的协同工作:插件需要与 neutron 的其他服务进行协同工作,如与网络代理服务通信来实现 DHCP、L3 路由等功能。 3. 处理通用的网络操作:插件还需要处理一些通用的网络操作,如网络异常处理、配置文件解析等。 4. 调试和测试:在插件的实现过程中,需要进行调试和测试,以确保插件能够正确地提供网络功能。 总之,neutron 插件的源码分析需要深入了解网络技术和 OpenStack 的架构设计,同时需要具备良好的编程能力和调试能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值