Openstack 中的防火墙规则分析【分享】

上周花了几天研究了一下Openstack的Security Group防火墙规则，总结下上周的成果。

一、介绍下我的环境。

    操作系统：RHEL6.4+Openstack官方内核

    Openstack版本：Havana

    网络模式：ML2+Linuxbridge

    租户网络：VLAN

二、Iptables 流向

[mw_shl_code=bash,true]INPUT

neutron-linuxbri-INPUT

neutron-linuxbri-o45d1d6e0-d

neutron-linuxbri-s45d1d6e0-d

neutron-linuxbri-sg-fallback

OUTPUT

neutron-filter-top

neutron-linuxbri-local

neutron-linuxbri-OUTPUT

FORWORD

neutron-filter-top

neutron-linuxbri-local

neutron-linuxbri-FORWARD

neutron-linuxbri-sg-chain=>A

A=>neutron-linuxbri-i45d1d6e0-d=>B

A=>neutron-linuxbri-o45d1d6e0-d

neutron-linuxbri-s45d1d6e0-d=>B

B=>neutron-linuxbri-sg-fallback[/mw_shl_code]
这个流向搞的太乱了，改天整理成个图片。

这里只分析二层数据包流向。

三、总结下

1、真正干活的其实就是：

neutron-linuxbri-i45d1d6e0-dneutron-linuxbri-o45d1d6e0-dneutron-linuxbri-s45d1d6e0-d

2、neutron-linuxbri-i45d1d6e0-d 这个做的是进入虚拟机的流控制，按Openstack默认的安全组的话同一个网络下的不同租户的网络是不通的。

3、neutron-linuxbri-s45d1d6e0-d 这个是做ip和mac绑定功能的。

4、neutron-linuxbri-o45d1d6e0-d 这个做的是出去虚拟机流控制，按照Openstack默认的安全组的话全部通过。

5、这几条子链名称命名规则是：用的L2Agent名称的前16为-数据流向[i/o/s]-端口UUID前11位。

openstack安全策略配置

• 安全组
  
  
  
  • 系统为每个租户默认创建一个安全组，安全组规则为：
    
    
    • 允许所有流出流量
      
    • 允许相同安全组的虚拟机流入流量
      
      
  • 支持用户自定义安全组
    
  • 支持用户添加和删除安全组规则
    
    
    • 安全组规则包括Ingress和Egress，分别用于控制虚拟机的流入和流出流量
      
    • remote选项支持配置CIDR或安全组，当配置为另一个安全组时，则另一个安全组中的所有实例允许访问本安全组中的所有实例
      
      
  • 支持绑定安全组到虚拟机实例
    
    
    
    • 支持在创建虚拟机时，绑定一个或多个安全组到虚拟机，同一个安全组的虚拟机可达
      
    • 虚拟机创建成功后，支持修改绑定的安全组
      
      

感谢分享！