【openstack】Neutron实验三安全组基本概念和操作步骤(附源码)

原创 2018年04月17日 17:19:27

    该实验是在SDNLab的未来网络学院学习肖宏辉的《Openstack Neutron应用入门》课程时,借助其实验平台所做的实验。同样也适应其他环境想要自学openstack的小伙伴。

    实验平台:https://www.sdnlab.com/experimental-platform/(也可以使用自己搭建的openstack环境)

    该实验是在实验二的基础上进行的,所以在看本实验之前应先学习实验二的内容:

    实验二链接:https://blog.csdn.net/zswang9/article/details/79977370

实验环境:

1.一个子网
2.一台主机:HOST1(all_in_one节点)
IP: 192.168.1.10
登录用户:xiaohhui
登录密码:passw0rd
系统:Ubuntu 16.04LTS
规格:CPU-4核,内存-8GB
3.HOST1中的openstack创建的Neutron环境
net1 :
    subnet:11.0.0.0/24
    网关:11.0.0.1/24
    DHCP sever:11.0.0.2/24
VM1:
    ip地址:11.0.0.8
    用户名:cirros
    密码:cubswin:)
一、安全组规则和默认安全组规则内容
(1)定义安全组的基本参数:定义放行规则
主要设置以下参数:
Direction :ingress/egress 例如:ingress
Ethertype:ipv4/ipv6 例如:ipv4
protocol:TCP/UDP/ICMP 例如:tcp
port range:传输层端口号范围 例如:port_range_max 22 port_range_min 22 :即只对22端口放行
remote ip prefix:y 例如:0.0.0.0/0
remote group ID:
对此ID对应的安全组关联的所有端口对应的IP地址进行放行
(2)默认安全组规则:
允许所有egress(出)流量
允许同一个安全组的端口的ingress流量
禁止所有ingress流量
允许所有DHCP流量(隐藏)
打开MAC spoof prevention 欺诈(隐藏)
实验2.2:手动添加安全组规则并验证
实验内容:
手动添加安全组规则
  • 手动添加入方向的ICMP允许规则
  • 验证可以从外部ping到主机
新建一个tenant/project
  • 查看默认安全组规则
  • 删除tenant/project
步骤:
一切还是在实验2.1的基础上操作,登陆实验环境:
在 DHCP namespace 中操作
验证 ping 虚拟机
ping 11.0.0.8
一直不能ping通,因为在实验二中,已经将准入ICMP规则删除了,所以不能ping通。
在all_in_one 节点中操作
查看port列表
neutron port-list
找到虚拟机对应的port id

查看对应ID的port 的数据
neutron port-show (port ID -虚拟机)
找到 security_groups ID(以后对这个ID进行操作)

查看 neutron 帮助
neutron help security-group-rule-create
添加规则
neutron security-group-rule-create (group ID)--direction ingress --ethertype ipv4 --protocal icmp --remote-ip-prefix 0.0.0.0/0

对ID对应的安全组进行操作,可以看到DHCP server可以ping通虚拟机VM1了。
查看默认安全组
在all_in_one节点上
创建租户
opnestack project create test
可以得到test project的id

查看次project id 对应的默认安全组
neutron security-group-list --tenant-id (project的id)

删除刚才创建的租户
openstack project delete test
————————————————————————————————————————
实验2.2:手动添加安全组规则并验证(无插图版)
实验内容:
手动添加安全组规则
  • 手动添加入方向的ICMP允许规则
  • 验证可以从外部ping到主机
新建一个tenant/project
  • 查看默认安全组规则
  • 删除tenant/project
步骤:
一切还是在实验2.1的基础上操作,登陆实验环境:
在 DHCP namespace 中操作
验证 ping 虚拟机
ping 11.0.0.8
一直不能ping通,因为在实验二中,已经将准入ICMP规则删除了,所以不能ping通。
在all_in_one 节点中操作
查看port列表
neutron port-list
找到虚拟机对应的port id
查看对应ID的port 的数据
neutron port-show (port ID -虚拟机)
找到 security_groups ID(以后对这个ID进行操作)
查看 neutron 帮助
neutron help security-group-rule-create
添加规则
neutron security-group-rule-create (group ID)--direction ingress --ethertype ipv4 --protocal icmp --remote-ip-prefix 0.0.0.0/0
对ID对应的安全组进行操作,可以看到DHCP server可以ping通虚拟机VM1了。
查看默认安全组
在all_in_one节点上
创建租户
opnestack project create test
可以得到test project的id
查看次project id 对应的默认安全组
neutron security-group-list --tenant-id (project的id)
删除刚才创建的租户
openstack project delete test

知识图谱实战案例完全剖析(附完整源码和数据集)

-
  • 1970年01月01日 08:00

带着问题了解Openstack Neutron安全组

女主宣言 本文出自于ADDOPS团队,该文章作者李文新是360 HULK云平台容器化及虚拟化平台运维开发工程师,负责网络模块的设计与开发。本文是由他最近解决的一个Openstack Neutron安...
  • ZVAyIVqt0UFji
  • ZVAyIVqt0UFji
  • 2017-11-09 00:00:00
  • 374

Neutron安全组分析(一)

1.       neutron安全组介绍 neutron安全组由L2 Agent来实现,也就是说L2Agent,比如 neutron-linuxbridge-agent,会将安全组规则转换成IPT...
  • xiakewudi
  • xiakewudi
  • 2017-08-08 13:30:51
  • 413

neutron安全组分析(四)

4.3.   安全组删除 1、 Neutron-client发送deletesecuritygroup消息(消息中包含要删除的安全组信息)给neutron-server,neutron-...
  • xiakewudi
  • xiakewudi
  • 2017-08-08 13:37:47
  • 208

【OpenStack】Neutron的性能问题

声明: 本博客欢迎转发,但请保留原作者信息! 新浪微博:@孔令贤HW; 博客地址:http://blog.csdn.net/lynn_kong 内容系本人学习、研究和总结,如有雷同,实属荣幸!...
  • lynn_kong
  • lynn_kong
  • 2013-08-15 18:49:13
  • 4297

neutron的安全组规则不生效的原因

最近新部署的openstack环境安全组总是不生效,查看了配置文件都没有什么问题,只是比较奇怪的是在计算节点的iptables中的forward链没有任何的包被匹配。这里强调一点,安全组主要是依靠计算...
  • ivy_feifei
  • ivy_feifei
  • 2014-11-26 10:43:11
  • 752

neutron安全组功能点梳理总结

1.虚拟机安全组规则一致性检查 1.根据虚拟机id找到使用的port id。 2.根据port id找到port所在计算节点名字。 3.根据port id找到port所属安全组id。 4.根据安全组i...
  • rtmdk
  • rtmdk
  • 2017-04-13 20:27:44
  • 1145

openstack 命令行管理十一 - 安全组管理 (备忘)

 参考官方资料You must modify the rules for the default security group because users cannot access insta...
  • signmem
  • signmem
  • 2014-02-19 09:36:46
  • 4941

理解 Neutron FWaaS - 每天5分钟玩转 OpenStack(117)

前面我们学习了安全组,今天学习另一个与安全相关的服务 – FWaaS。
  • CloudMan6
  • CloudMan6
  • 2016-11-25 05:15:15
  • 1824

深入理解Neutron -- OpenStack网络实践:概述和基本概念

概述 Neutron 的设计目标是实现“网络即服务”,为了达到这一目标,在设计上遵循了基于“软件定义网络”实现网络虚拟化的原则,在实现上充分利用了 Linux 系统上的各种网络相关的技术。 理解了 ...
  • zhangli_perdue
  • zhangli_perdue
  • 2015-11-19 16:36:50
  • 1253
收藏助手
不良信息举报
您举报文章:【openstack】Neutron实验三安全组基本概念和操作步骤(附源码)
举报原因:
原因补充:

(最多只允许输入30个字)