怎么進行Neutron 默認安全組規則的分析
本篇文章給大家分享的是有關怎么進行Neutron 默認安全組規則的分析�,小編覺得挺實用的���,因此分享給大家學習�,希望大家閱讀完這篇文章后可以有所收獲�,話不多說�����,跟著小編一起來看看吧�。
Neutron 為 instance 提供了兩種管理網絡安全的方法:
安全組(Security Group)和虛擬防火墻���。
安全組的原理是通過 iptables 對 instance 所在計算節點的網絡流量進行過濾�����。
虛擬防火墻則由 Neutron Firewall as a Service(FWaaS)高級服務提供����。
其底層也是使用 iptables���,在 Neutron Router 上對網絡包進行過濾��。
這兩種安全方案我們都會討論�,本章先重點學習安全組����。
默認安全組
每個 Project(租戶)都有一個命名為 “default” 的默認安全組�����。
點擊菜單 Project -> Compute -> Access & Security����,查看 Security Group 列表�����。
![]()
點擊按鈕����,查看 “default” 安全組的規則�。
![]()
“default” 安全組有四條規則�,其作用是:
允許所有外出(Egress)的流量����,但禁止所有進入(Ingress)的流量�����。
當我們創建 instance 時�,可以在 “Access & Security” 標簽頁中選擇安全組�����。
如果當前只有 “default” 這一個安全組���,則會強制使用 “default” ��。
當前在 devstack-controller 上有 instance “cirros-vm1”���。
![]()
在 devstack-controller 上執行 iptables-save 命令查看相關規則����。
iptables 的規則較多�����,這里我們節選了 cirros-vm1 相關的規則��。
這些規則是 Neutron 根據安全組自動生成的��。
cirros-vm1 的 TAP interface 為 tap8bca5b86-23�,可以看到:
1. iptables 的規則是應用在 Neutron port 上的����,port 在這里是 cirros-vm1 的虛擬網卡 tap8bca5b86-23����。
2. ingress 規則集中定義在命名為 “neutron-linuxbri-i8bca5b86-2” 的 chain 中��。
3. egress 規則集中定義在命名為 “neutron-linuxbri-o8bca5b86-2” 的 chain 中��。
下面我們通過 dhcp namespace 對 cirros-vm1 進行 ping 和 ssh 測試��。
無法 ping 和 ssh cirros-vm1��,可見當前的規則實現了 “default” 安全組���,所有 ingress 流量都被禁止�。
以上就是怎么進行Neutron 默認安全組規則的分析����,小編相信有部分知識點可能是我們日常工作會見到或用到的�����。希望你能通過這篇文章學到更多知識��。更多詳情敬請關注億速云行業資訊頻道���。
