Openstack安全组与conntrack简介

最新推荐文章于 2025-10-08 14:34:21 发布
原创 最新推荐文章于 2025-10-08 14:34:21 发布 · 8.5k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#openstack

本文介绍了Openstack中安全组的工作原理,强调了安全组如何基于Iptables实现,并探讨了conntrack在连接追踪中的作用。在不使用conntrack-tool时,删除安全组规则可能导致通信未中断的问题,而在引入conntrack-tool后,这些问题得到了解决,实现了更好的租户隔离和连接管理。

Openstack中的安全组实现相互信任的虚拟机之间的通信,绑定同一个安全组的虚拟机使用相同的安全策略。安全组作用范围是在虚拟机上,更具体来说是作用在虚拟机的端口而不是网络上。Openstack中安全组基于Iptables实现,由于当前OpenvSwitch(ovs)不能使用iptables rule,所以虚拟机先连接linux bridge,再连接到ovs网桥。参考链接[1]。


使用Iptables时,报文的状态可以归类为四种:NEW ESTABLISEDRELATED INVAILD. Netfilter就是通过conntrack实现连接追踪的。Conntrack是linux的一个内核模块,使用 conntrack entry记录连接的状态信息,具体可参考[2]。


1.   sg without conntrack-tool



图1


Neutron最初实现安全组功能时并没有考虑对conntrack的处理,从而导致一些问题。如图1虚拟机vm1(1.1.1.8)  vm2(1.1.1.9)属于同一子网,位于同一个计算节点,都绑定default安全组,执行vm1 ping vm2后能够ping通。此时删除default安全组中ingress规则保留egress规则,发现vm1 ping vm2仍未中断[3]。


究其原因,ICMP报文到达vm2连接的linux bridge时进入Iptables处理阶段。iptables中vm2对应的i链(参考[4])有一条规则为-mstate --state RELATED,ESTABLISHED -m comment -j RETURN(默认规则) ,表示状态为RELATED E

最低0.47元/天 解锁文章
ovs conntrack及nat
fengcai_ke的博客
07-08 2595
ovs连接跟踪及nat实现分析
OpenStack Yoga版安装笔记(十七)安全组笔记
zkyqss的博客
04-06 1147
OpenStack安全组(Security Group)默认是通过Linux的iptables实现的。OpenStack安全组规则通过iptables的规则链实现。每条安全组规则会被转换为相应的iptables规则,这些规则会动态生成并应用到计算节点的iptables中。
Openstack安全组conntrack简介(2)
赤焰军
06-12 1729
1.     优化zone的设置 [1]中最后部分介绍到为了实现租户的conntrack隔离,neutron对conntrack entry管理时增加了一个zone属性,zone的值设置为虚拟机localvlan tag。相同网络的两个虚拟机如果被创建在同一计算节点,则这两个虚拟机使用的port vlan tag相同。同一个计算节点上运行的不同网络的虚拟机其vlan tag不同。
Openstack Nova Security Group——安全组之架构篇
成长的足迹
03-12 1万+
哈,又回来了! 公司同事说不要只停留在逻辑层,你要对跑在你程序底下的数据流也要非常的清楚。但是这里还是先介绍一下逻辑层,在代码的角度看是如何实现这个功能的,关于底层的数据流,还需要哦酝酿一段时间,之后会再总结一篇底层数据流的文章,真难为我了! 一、什么是安全组 安全组,翻译成英文是 security group。安全组是一些规则的集合,用来对虚拟机的访问流量加以限制,这反映到
15、云安全保障:OpenStack安全策略实践
最新发布
blockchain9miner的博客
10-08 41
本文深入探讨了OpenStack云环境下的安全保障策略实践,涵盖数据区域隔离、软件漏洞管理、实例基础设施的补丁策略、虚拟机管理程序强化(特别是KVMSELinux/AppArmor/sVirt)、网络安全、身份认证授权、数据加密、安全监控审计以及应急响应灾难恢复等多个维度。通过系统化的安全措施和最佳实践,帮助企业和组织构建安全可靠的OpenStack云平台,有效应对各类安全威胁,确保业务稳定运行。
openstack】Neutron实验三安全组基本概念和操作步骤(附源码)
zsWang9的博客
04-17 2354
    该实验是在SDNLab的未来网络学院学习肖宏辉的《Openstack Neutron应用入门》课程时,借助其实验平台所做的实验。同样也适应其他环境想要自学openstack的小伙伴。    实验平台:https://www.sdnlab.com/experimental-platform/(也可以使用自己搭建的openstack环境)    该实验是在实验二的基础上进行的,所以在看本实验之...
ovs conntrack based firewall driver (by quqi99)
技术并艺术着
04-20 9882
作者:张华 发表于:2016-04-20 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.youkuaiyun.com/quqi99 ) 我们知道,Neutron security group特性是基于iptables实现的,iptables规则只能作用于linux bridge,不能作用于ovs bridge上,所以在VM...
OpenStack八大核心组件精讲之---neutron部署
weixin_51431591的博客
03-21 436
OpenStack八大核心组件精讲之---neutron部署1、创建数据库neutron,并进行授权2、创建neutron用户,用于在keystone做认证3、将neutron用户添加到service项目中拥有管理员权限4、创建network服务,服务类型为network5、注册API到neutron服务,给neutron服务关联端口,即添加endpoint6、安装提供者网络(桥接)7、更改主配置文件8、修改 ML2 plugin 配置文件 ml2_conf.ini9、修改 linux bridge net
openstack计算节点上iptables安全组分析
一名运维开发工程师的日常记录
11-09 718
由上面可以看出,neutron-openvswi-INPUT链中将来自是 tap323ef4ca-8a和 tapa937d188-d6的流入转给了neutron-openvswi-o323ef4ca-8和 neutron-openvswi-oa937d188-d 两个安全组子链,再看下这俩安全组子链。之前介绍过neutron 安全组基于iptables 和 ct 实现,分析一下计算节点上面的neutron 安全组的iptables,加深一下理解iptables以及安全组的实现。FORWARD 链先跳到。
OVS Conntrack 指南
redwingz的博客
07-02 1万+
OVS可内核的连接跟踪系统(Connection tracking system)一同使用,借助Conntrack的功能,OpenFlow流可用于匹配TCP、UDP、ICMP等连接的状态。(连接跟踪系统支持跟踪有状态和无状态协议)。 本教程演示OVS如何使用连接跟踪系统。以匹配从连接建立到连接拆除的TCP报文段。将OVSLinux内核模块一同作为此演示的数据路径。(在Linux内核中利用ope...
ovs conntrack的实现
zhangtongjian12的博客
12-09 595
ovs conntrack的实现
conntrack系统介绍
10-02
描述了netfile框架下的conntrack连接跟踪系统
OVS架构zz
anjuenz87013的博客
04-12 256
OVS 总体架构、源码结构及数据流程全面解析 http://www.cnblogs.com/bakari/p/8097478.html 从 Bridge 到 OVS,探索虚拟交换机 http://www.cnblogs.com/bakari/p/8097439.html 转载于:https://www.cnblogs.com/soul-stone/p/8807970....
连接跟踪(conntrack):原理、应用及 Linux 内核实现
maimang1001的专栏
05-19 5713
连接跟踪(conntrack):原理、应用及 Linux 内核实现 This post also provides anEnglish version. 摘要 1 引言 1.1 概念 1.2 原理 1.3 设计:Netfilter 1.4 设计:进一步思考 1.5 应用 1.5.1 网络地址转换(NAT) 四层负载均衡(L4LB) 1.5.2 有状态防火墙 OpenStack 安全组 1.6 小结 2 Netfilter h..
linux conntrack命令 路由连接 跟踪表 显示删除监听记录
whatday的专栏
11-01 1万+
conntrack命令可以显示,删除和更新跟踪表现有状态条目,还可以监听流事件 1.安装: yum install -y conntrack 2.使用: 查看conntrack表记录 conntrack -L 过滤条件输出 # conntrack -U -p tcp --dport 3486 --mark 10 tcp 6 431982 ESTABLISHED src=192.168.2.100 dst=123.59.27.117 sport=34846 dport=993 pa
在用户态删除内核sip为特定值的所有nf_conntrack
m0_64406986的博客
04-11 596
【代码】在用户态删除内核sip为特定值的所有nf_conntrack
Linux协议栈-netfilter(2)-conntrack
热门推荐
落尘纷扰的专栏
04-04 1万+
连接跟踪(conntrack)用来跟踪和记录一个连接的状态,它为经过协议栈的数据包记录状态,这为防火墙检测连接状态提供了参考,同时在数据包需要做NAT时也为转换工作提供便利。本文基于Linux内核2.6.31实现的conntrack进行源码分析。1. conntrack模块初始化1.1 conntrack模块入口conntrack模块的初始化主要就是为必要的全局数据结构进行初始化,代码流程如下:上...
OpenStack (neutron 网络服务)
weixin_30535167的博客
08-02 1130
neutron介绍 提供 OpenStack 虚拟网络服务,也是 OpenStack 重要的核心模块之一,该模块最开始是 Nova 的一部分,叫 nova-network,后来从 Nova 中分离出来,开始名字为 Quantum,后来由于商业名权的原因改为了 Neutron。该模块之所以重要是因为如果没有虚拟网络服务,OpenStack 就变为单纯提供虚拟机实例和虚拟存储服务的平台,这...
OpenStack Neutron:网络虚拟化深度解析
在网络隔离方面,Neutron通过独立的Tenant network和子网,以及访问控制策略,确保了不同租户之间的网络资源相互隔离,从而保障了云环境的安全性。在配置规则如`-m conntrack ! --ctstate DNAT -j ACCEPT`,这是为了...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值