码迷,mamicode.com
首页 > 其他好文 > 详细

OpenStack 关闭安全组

时间:2017-10-27 11:38:36      阅读:358      评论:0      收藏:0      [点我收藏+]

标签:优雅   order   driver   具体步骤   nes   pad   arp   方法   firewall   


OpenStack Neutron的安全组默认会对每个网口开启MAC/IP过滤功能(防arp欺骗),不是该网口的MAC/IP发出的包会被宿主机丢弃。这种限制会导致vNF的上行网口转发的数据包被丢弃,无法到达vRouter。关闭安全组有两种方法

第一种是整体关闭

# /etc/neutron/plugins/ml2/openvswitch_agent.ini
firewall_driver=None

整体关闭的弊端是所有的端口不在受安全组保护,私有云尚且可以,公有云会带来安全隐患

局部关闭

OpenStack Neutron的MAC/IP过滤是利用宿主机的iptables实现的,因此可以通过修改iptables配置来达到局部关闭的效果,具体步骤如下:

为每个租户创建完毕vNF后,从后台进入宿主机,找到对应网口的tap设备,记下tap后面的id,例如sc5695d00-9。

iptables --line-numbers -nvL | grep ${id}
查看对应的条目

利用iptables -D ...删除掉对应条目

另一种比较优雅的局部关闭方法是使用OpenStack Cli,可以关闭指定的port的安全组:

opnestack port set --no-security-group <port>
openstack port set --disable-port-security <port>

也可以为port添加允许通过的MAC/IP

openstack port set --allowed-address ip=address=<ip-address>, mac-address=<mac-address> <port>

OpenStack 关闭安全组

标签:优雅   order   driver   具体步骤   nes   pad   arp   方法   firewall   

原文地址:http://www.cnblogs.com/wangyifu/p/7741925.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!