Openstack 中的防火墻規則分析
責編:admin |2015-02-03 17:46:33上周花了幾天研究了一下Openstack的Security Group防火墻規則,總結下上周的成果。
一、介紹下我的環境
操作系統:RHEL6.4+Openstack官方內核
Openstack版本:Havana
網絡模式:ML2+Linuxbridge
租戶網絡:VLAN
二、Iptables 流向
INPUT
neutron-linuxbri-INPUT
neutron-linuxbri-o45d1d6e0-d
neutron-linuxbri-s45d1d6e0-d
neutron-linuxbri-sg-fallback
OUTPUT
neutron-filter-top
neutron-linuxbri-local
neutron-linuxbri-OUTPUT
FORWORD
neutron-filter-top
neutron-linuxbri-local
neutron-linuxbri-FORWARD
neutron-linuxbri-sg-chain=>A
A=>neutron-linuxbri-i45d1d6e0-d=>B
A=>neutron-linuxbri-o45d1d6e0-d
neutron-linuxbri-s45d1d6e0-d=>B
B=>neutron-linuxbri-sg-fallback
這個流向搞的太亂了,改天整理成個圖片。
這里只分析二層數據包流向。
三、總結
1、真正干活的其實就是:
neutron-linuxbri-i45d1d6e0-d
neutron-linuxbri-o45d1d6e0-d
neutron-linuxbri-s45d1d6e0-d
2、neutron-linuxbri-i45d1d6e0-d 這個做的是進入虛擬機的流控制,按Openstack默認的安全組的話同一個網絡下的不同租戶的網絡是不通的。
3、neutron-linuxbri-s45d1d6e0-d 這個是做ip和mac綁定功能的。
4、neutron-linuxbri-o45d1d6e0-d 這個做的是出去虛擬機流控制,按照Openstack默認的安全組的話全部通過。
5、這幾條子鏈名稱命名規則是:用的L2Agent名稱的前16為-數據流向[i/o/s]-端口UUID前11位。