neutron安全组分析(四)

最新推荐文章于 2021-09-07 11:34:07 发布
最新推荐文章于 2021-09-07 11:34:07 发布
阅读量681 收藏
点赞数
分类专栏: neutron
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiakewudi/article/details/76900639
版权

4.3.   安全组删除


1、 Neutron-client发送deletesecuritygroup消息(消息中包含要删除的安全组信息)给neutron-server,neutron-server调用securitygroupplugin中的delete_security_group方法处理消息;

2、 在delete_security_group方法中检查安全组是否绑定port,如果绑定,则返回不能删除该安全组;如果没有绑定的port,则直接删除。

3、 securitygroup plugin会回应deletesecuritygroup result给neutron-client。删除成功则返回删除的安全组id;失败则返回失败原因。

代码如下:

neutron.db.securitygroups_db.py

classSecurityGroupDbMixin(ext_sg.SecurityGroupPluginBase)

def delete_security_group(self, context, id):

        filters = {'security_group_id': [id]}

        #获取安全组绑定的port

        ports =self._get_port_security_group_bindings(context, filters)

        if ports:   #如果存在绑定的port,则不能删除

            raiseext_sg.SecurityGroupInUse(id=id)

        # confirm security group exists

        sg = self._get_security_group(context,id)

 

       if sg['name'] == 'default' and not context.is_admin:

            raiseext_sg.SecurityGroupCannotRemoveDefault()

        kwargs = {

            'context': context,

            'security_group_id': id,

            'security_group': sg,

        }

        # NOTE(armax): a callback exceptionhere will prevent the request

        # from being processed. This is a hookpoint for backend's validation;

        # we raise to propagate the reason forthe failure.

        try:

            registry.notify(

               resources.SECURITY_GROUP, events.BEFORE_DELETE, self,

                **kwargs)

        except exceptions.CallbackFailure as e:

            reason = _('cannot be deleted dueto %s') % e

            raiseext_sg.SecurityGroupInUse(id=id, reason=reason)

 

        withcontext.session.begin(subtransactions=True):

            context.session.delete(sg)     #删除安全组

 

        kwargs.pop('security_group')

       registry.notify(resources.SECURITY_GROUP, events.AFTER_DELETE, self,

                        **kwargs)

xiakewudixl
关注
专栏目录
Neutron — OvS-Agent 实现原理
烟云的计算
05-17 1517
Neutron OvS 系统拓扑 Neutron OvS 网络拓扑 首先关注计算机节点上的虚拟机流量是怎么被送出计算节点的,并在过程中插入介绍相关的虚拟网络设备于工作原理。其中,“内外 VID 转换机制“ 是一种 “分层兼容“ 设计方式。从分层的角度看,计算节点的网络模型可分为:显然,本地网络层和租户网络层之间必须存在一层转换。这就是所谓的 VID 转换。VID 是一个逻辑概念,针对不同的租户网络类型具有不同的 Tenant VID。同时,Tenant VID 的范围是由管理员租户定义的,具体而言是 ml2
neutron security group
maidi_1983的专栏
07-11 1553
Neutron 安全,是端口级别的安全手段,这一点跟fwass是区别的,fwass是子网间的流量安全防护,比如,同一租户的subnet A 与subnet B 之间,一般生效在子网间的路由器上,neutron原生实现是通过Iptables来做,业界厂商像cisco是由 VSA 来做的,fwass不在本文的描述范围。回到安全租,安全租是不仅仅局限在L2,
Neutron总结-security group
创新是灵魂,执行是生命。
07-31 2824
Neutron 为 instance 提供了两种管理网络安全的方法: 安全和虚拟防火墙。 安全的原理是通过 iptables 对 instance 所在计算节点的网络流量进行过滤。 虚拟防火墙则由 Neutron Firewall as a Service(FWaaS)高级服务提供。其底层也是使用 iptables。
Neutron安全分析(二)
xiakewudi的专栏
08-08 587
4.1.   安全创建 1、 Neutron-client发送createsecuritygroup消息(消息中包含要创建的安全信息)给neutron-server,neutron-server调用securitygroupplugin中的create_security_group方法处理消息; 2、 在create_security_group方法中根据安全是否默认安全
neutron安全分析(三)
xiakewudi的专栏
08-08 429
4.2.   安全更新 1、 Neutron-client发送updatesecuritygroup消息给neutron-server,neutron-server调用securitygroupplugin中的update_security_group方法处理消息; 2、 在update_security_group方法中直接更新安全表项。 3、 securitygroup
neutron安全
jason的笔记
10-11 1534
在access & secure下面可以看到默认的安全, 点击manager rules可以看到安全的规则。 分别针对ipv4 和ipv6 允许所有外出(Egress)的流量,但禁止所有进入(Ingress)的流量 点击create secure group新建安全 可以看到已经生成了新的安全 点击manager r
neutron安全功能点梳理总结
rtmdk的博客
04-13 4919
1.虚拟机安全规则一致性检查 1.根据虚拟机id找到使用的port id。 2.根据port id找到port所在计算节点名字。 3.根据port id找到port所属安全id。 4.根据安全id查询对应的安全规则。 5.Ssh到计算节点,根据port id查询对应的iptables规则。 6.自动分析安全规则与iptables规则是否一致。 2.client中安全相关接
带着问题了解Openstack Neutron安全
HULK一线技术杂谈
11-09 2223
女主宣言 本文出自于ADDOPS团队,该文章作者李文新是360 HULK云平台容器化及虚拟化平台运维开发工程师,负责网络模块的设计与开发。本文是由他最近解决的一个Openstack Neutron安全问题所触发而写,让我们跟随作者的思路一起来了解Neutron Security Group和一般网络问题的解决思路吧。 PS:丰富的一线技术、多元化的表现形式,尽在“HULK一线技术杂谈”,点关
neutron plugin源码分析
最新发布
06-09
neutron 的插件部分负责实现具体的网络功能,如虚拟网络、路由、安全等。在 neutron 中,插件是通过扩展 neutron 的核心服务来实现的。因此,插件的代码位于 `neutron/services` 目录下。 插件的实现一般需要继承...
neutron源码分析
06-09
2. Plugin:neutron 的插件部分负责实现具体的网络功能,如虚拟网络、路由、安全等。在 neutron 中,插件是通过扩展 neutron 的核心服务来实现的,因此插件的代码位于 `neutron/services` 目录下。 3. Agent:...
监听模式
灰太狼
03-03 1905
目录 一、监听模式概 二、代码实现 三、监听模式在openstack中的使用 1.neutron_lib.callbacks.registry模块 2.rabbitmq 一、监听模式概 监听模式(观察者模式)是指观察对象监听被观察对象,当被观察对象发生变化时,所有的观察对象都能及时的知道并且自动更新,被观察对象和观察对象之间的关系是1对多。 二、代码实现 在示例中waterHeater类相当于一个被观察对象,WashingMode和DrinkingMode类相当于观察对象,water.
sqlalchemy开启事务
零渡的博客
04-29 7263
开启sqlalchemy事务,网上有很多种开启事务的方式,但这里只介绍如何使用吗,不介绍原理,有兴趣的可以自行搜索。 1、使用begin开启事务 session.begin(subtransactions=True) 2、将增删查改操作每个操作完都需要 session.commit(),由于begin为后提交模式,也就是将所有的操作都提交之后,确认无错orm会自动提交,否则将会报异常错误。 ...
Openstack Neutron扩展实现细节(QOS)
llxx1234的博客
06-06 3673
https://wenku.baidu.com/view/7e6fe84d1611cc7931b765ce05087632311274ff Openstack Neutron扩展实现细节   1   目的 本文已QOS为例子,记录通过Neutron的扩展机制扩展网络服务所注意的细节,帮助后续的开发人员快速上手 2   Neutron的架构 Neutron分为三个部分:neu
openstack neutron网络模块分析(一)---- neutron-server启动
成字第0431879
06-27 495
neutron-server 启动流程 环境:ocata版本,centos7 预备知识: WSGI:一个可以在python web服务中可以广泛使用的API PASTE:Paste Deployment用于发现和配置WSGI Application和Server,有了Paste Deployment,WSGI applications只需向其用户提供一个单独的入口loadapp函数,然后用...
Neutron 消息回调系统
redwingz的博客
07-08 878
Neutron已经有了callback system - 回调系统, 为进程内资源设置的回调,使得发布者publisher和订阅者subscriber可发布和订阅资源事件。 文本介绍的系统与以上不同,本系统旨在通过消息扇出机制(fanout mechanism)实现进程间的回调。 在Neutron中,代理可能需要订阅特定的资源细节,这些细节可能会随着时间而改变。此消息回调系统的目的是允许代理订阅这...
Neutron-server初始化 — RPC服务初始化
信仰在空中飘扬
07-28 3320
rpc服务初始化RabbitMQ基础概念详细介绍: http://blog.csdn.net/whycold/article/details/41119807 OpenStack的oslo_messaging件使用,介绍RPC-server和PRC-client的创建,以及对cast和call的远程调用。http://blog.csdn.net/gj19890923/article/detail
neutron源码分析】create_network/create_subnet/create_port源码分析
qq_42533216的博客
09-07 1493
1. network源码分析 通过执行命令创建网络上,neutron net-create xxxxx 首先neutronclient发送HTTP请求给neutron-server,调用create函数。 def create(self, request, body=None, **kwargs): self._notifier.info(request.context, self._resource + '.create.s...
Openstack Nova Security Group——安全之架构篇
热门推荐
成长的足迹
03-12 1万+
哈,又回来了! 公司同事说不要只停留在逻辑层,你要对跑在你程序底下的数据流也要非常的清楚。但是这里还是先介绍一下逻辑层,在代码的角度看是如何实现这个功能的,关于底层的数据流,还需要哦酝酿一段时间,之后会再总结一篇底层数据流的文章,真难为我了! 一、什么是安全 安全,翻译成英文是 security group。安全是一些规则的集合,用来对虚拟机的访问流量加以限制,这反映到
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值