理解 Neutron FWaaS - 每天5分钟玩转 OpenStack(117)
前面我們學(xué)習(xí)了安全組,今天學(xué)習(xí)另一個(gè)與安全相關(guān)的服務(wù) -- FWaaS。
理解概念
Firewall as a Service(FWaaS)是 Neutron 的一個(gè)高級(jí)服務(wù)。
用戶可以用它來創(chuàng)建和管理防火墻,在 subnet 的邊界上對(duì) layer 3 和 layer 4 的流量進(jìn)行過濾。
傳統(tǒng)網(wǎng)絡(luò)中的防火墻一般放在網(wǎng)關(guān)上,用來控制子網(wǎng)之間的訪問。 FWaaS 的原理也一樣,是在 Neutron 虛擬 router 上應(yīng)用防火墻規(guī)則,控制進(jìn)出租戶網(wǎng)絡(luò)的數(shù)據(jù)。
FWaaS 有三個(gè)重要概念: Firewall、Policy 和 Rule。
Firewall
租戶能夠創(chuàng)建和管理的邏輯防火墻資源。 Firewall 必須關(guān)聯(lián)某個(gè) Policy,因此必須先創(chuàng)建 Policy。
Firewall Policy
Policy 是 Rule 的集合,Firewall 會(huì)按順序應(yīng)用 Policy 中的每一條 Rule。
Firewall Rule
Rule 是訪問控制的規(guī)則,由源與目的子網(wǎng) IP、源與目的端口、協(xié)議、allow 或 deny 動(dòng)作組成。
例如,我們可以創(chuàng)建一條 Rule,允許外部網(wǎng)絡(luò)通過 ssh 訪問租戶網(wǎng)絡(luò)中的 instance,端口為 22。
與 FWaaS 容易混淆的概念是安全組(Security Group)。
安全組的應(yīng)用對(duì)象是虛擬網(wǎng)卡,由 L2 Agent 實(shí)現(xiàn),比如 neutron_openvswitch_agent 和 neutron_linuxbridge_agent。
安全組會(huì)在計(jì)算節(jié)點(diǎn)上通過 iptables 規(guī)則來控制進(jìn)出 instance 虛擬網(wǎng)卡的流量。
也就是說:安全組保護(hù)的是 instance。
FWaaS 的應(yīng)用對(duì)象是 router,可以在安全組之前控制外部過來的流量,但是對(duì)于同一個(gè) subnet 內(nèi)的流量不作限制。
也就是說:FWaaS 保護(hù)的是 subnet。
所以,可以同時(shí)部署 FWaaS 和安全組實(shí)現(xiàn)雙重防護(hù)。
啟用 FWaaS
因?yàn)?FWaaS 是在 router 中實(shí)現(xiàn)的,所以 FWaaS 沒有單獨(dú)的 agent。 已有的 L3 agent 負(fù)責(zé)提供所有 FWaaS 功能。
要啟用 FWaaS,必須在 Neutron 的相關(guān)配置文件中做些設(shè)置。
配置 firewall driver
Neutron 在 /etc/neutron/fwaas_driver.ini 文件中設(shè)置 FWaaS 使用的 driver。 如下圖所示:
這里 driver 為 iptables。如果以后支持更多的 driver,可以在這里替換。
配置 Neutron
在 Neutron 配置文件 /etc/neutron/neutron.conf ?中啟用 FWaaS plugin。
配置完畢!下節(jié)我們開始創(chuàng)建 Firewall。
本文轉(zhuǎn)自CloudMan6 51CTO博客,原文鏈接:http://blog.51cto.com/cloudman/1876429
總結(jié)
以上是生活随笔為你收集整理的理解 Neutron FWaaS - 每天5分钟玩转 OpenStack(117)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: iptables学习笔记
- 下一篇: Puppet exec资源介绍(二十六)