温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

openstack mitaka版本fwaas v1是怎么样的

发布时间:2021-12-29 15:23:20 来源:亿速云 阅读:150 作者:小新 栏目:云计算

小编给大家分享一下openstack mitaka版本fwaas v1是怎么样的,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!

    首先配置参考的是https://docs.openstack.org/ocata/networking-guide/fwaas-v1-scenario.html

    原理性的东西就不在这里介绍了,网上有很多参考资料。简单的归纳一下,openstack的fwaas是基于router namespace的iptables来实现的,配置、重启服务、添加FireWall 规则之后,如果没有新的iptables规则出现,那就会导致配置FireWall rules无法生效,我在实际测试过程中就遇到了这个问题。研究了一下代码发现,问题的核心出在了这段代码上:

/usr/lib/python2.7/site-packages/neutron_fwaas/services/firewall/drivers/linux/iptables_fwaas.py

openstack mitaka版本fwaas v1是怎么样的

    研究了一下,这段代码总觉得很奇怪。一般来说,ovs版本的route都会配置为DVR类型,所以按照这段代码的逻辑,只有route配置了外部网关,才会在controller节点出现类似snat-0411a7ef-7aa8-4584-ad40-6d1e7be9a309这样的namespace;只有虚机绑定了浮动ip,才会在compute节点出现类似fip-fd5962ff-2177-402e-bec6-6a307e890868这样的namespace。也就是这分布式路由的场景下,FireWall只能控制南北向的流量,无法控制东西向的流量(因为没有用到router_info.iptables_manager)。

    所以如果想控制东西向流量,只能将“if not router_info.router.get('distributed'):”这行代码去掉,这样FireWall的rules才会下发到每个节点的qrouter-xxxxxx的namespace中。

以上是“openstack mitaka版本fwaas v1是怎么样的”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注亿速云行业资讯频道!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI