Neutron总结-security group

最新推荐文章于 2023-06-25 22:32:49 发布
最新推荐文章于 2023-06-25 22:32:49 发布
阅读量2.9k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: neutron OpenStack OpenStack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dylloveyou/article/details/76473297
本文介绍了OpenStack中安全组的概念及其实现方式。通过iptables规则控制进出实例的流量,详细展示了如何配置安全组来允许ping和ssh访问。此外,还介绍了安全组的基本特性和修改方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Neutron 为 instance 提供了两种管理网络安全的方法:
安全组(Security Group)和虚拟防火墙。
安全组的原理是通过 iptables 对 instance 所在计算节点的网络流量进行过滤。
虚拟防火墙则由 Neutron Firewall as a Service(FWaaS)高级服务提供。其底层也是使用 iptables,在 Neutron Router 上对网络包进行过滤。
这里先介绍安全组。

默认安全组

每个 Project(项目)都有一个命名为 “default” 的默认安全组。
点击菜单 项目 -> 计算 -> 访问 & 安全,查看 Security Group 列表。
这里写图片描述
点击“管理规则”按钮,查看 “default” 安全组的规则。
这里写图片描述
“default” 安全组有四条规则,其作用是:允许所有外出(Egress)的流量,但禁止所有进入(Ingress)的流量。

当我们创建 instance 时,可以在 “访问 & 安全” 标签页中选择安全组。如果当前只有 “default” 这一个安全组,则会强制使用 “default” 。
这里写图片描述

当前在 compute2 上有 instance “test2”。
这里写图片描述

在 compute2上执行 iptables-save 命令查看相关规则。iptables 的规则较多,这里我们节选了 test2 相关的规则。
这些规则是 Neutron 根据安全组自动生成的。
这里写图片描述

test2 的 TAP interface 为 tap700eb1c9-8c,可以看到:
1. iptables 的规则是应用在 Neutron port 上的,port 在这里是 test2 的虚拟网卡 tap700eb1c9-8c。
2. ingress 规则集中定义在命名为 “neutron-openvswi-i700eb1c9-8” 的 chain 中。
3. egress 规则集中定义在命名为 “neutron-openvswi-o700eb1c9-8” 的 chain 中。
下面我们通过 dhcp namespace 对 test2 进行 ping 和 ssh 测试。

root@controller:~# ip netns
qrouter-d0945bdd-e860-4f17-b386-80d4ddbb9d3c
qdhcp-838d7441-7c25-4b02-8698-18d76ef670be
qdhcp-f66a4f50-6ce1-452f-a618-5ecf17f1f3e7
root@controller:~# ip netns exec qdhcp-f66a4f50-6ce1-452f-a618-5ecf17f1f3e7 ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
11: tap80b8cf90-b7: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default 
    link/ether fa:16:3e:d1:ca:2a brd ff:ff:ff:ff:ff:ff
    inet 172.16.100.10/24 brd 172.16.100.255 scope global tap80b8cf90-b7
       valid_lft forever preferred_lft forever
    inet 169.254.169.254/16 brd 169.254.255.255 scope global tap80b8cf90-b7
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:fed1:ca2a/64 scope link 
       valid_lft forever preferred_lft forever
root@controller:~# ip netns exec qdhcp-f66a4f50-6ce1-452f-a618-5ecf17f1f3e7 ping 172.16.100.19
PING 172.16.100.19 (172.16.100.19) 56(84) bytes of data.
^C
--- 172.16.100.19 ping statistics ---
7 packets transmitted, 0 received, 100% packet loss, time 5999ms
root@controller:~# ip netns exec qdhcp-f66a4f50-6ce1-452f-a618-5ecf17f1f3e7 ssh 172.16.100.19
^C

无法 ping 和 ssh test2 (172.16.100.19),可见当前的规则实现了 “default” 安全组,所有 ingress 流量都被禁止。

修改安全组规则

Neutron 默认的安全组规则会禁止掉所有从外面访问 instance 的流量。
下面我们修改安全组的配置,允许 ping 和 ssh instance。
有两种方法可以达到这个目的:
1. 修改“default” 安全组。
2. 为 test2 添加新的安全组。
这里我们采用第二种方法。
在安全组列表页面点击“ 创建安全组”按钮。
这里写图片描述
为安全组命名并点击 “创建安全组”。新的安全组 “allow ping & ssh” 创建成功。
这里写图片描述
点击“管理规则”按钮,查看 “allow ping & ssh” 的规则。
这里写图片描述
系统默认定义了两条规则,允许所有的外出流量。为清晰起见,可以点击按钮“删除规则”删除这两条规则。
点击“添加规则”按钮,添加允许 ping 的规则。
这里写图片描述
“规则” 选择 “所有 ICMP 协议”,“方向” 选择 “入口”,然后点击 “添加” 按钮。
同样的方式添加 ssh 规则。
这里写图片描述
在列表中查看添加成功的规则。
这里写图片描述
接下来设置 test2,使用新的安全组。进入 instance 列表页面,点击 test2 下拉操作列表中的 “编辑安全组”
这里写图片描述
可以看到 test2 当前使用的安全组为 “default”,可选安全组为 “allow ping & ssh”。
这里写图片描述
点击安全组 “allow ping & ssh” 后面的 “+” 按钮。
这里写图片描述
点击 “保存”。
iptables 会立即更新,下面通过 对比 查看 iptables 前后的变化。
这里写图片描述
“allow ping & ssh” 安全组引入了下面两条 iptables 规则。作用是运行 ingress 的 ssh 和 ping 流量。

-A neutron-openvswi-i700eb1c9-8 -p icmp -j RETURN
-A neutron-openvswi-i700eb1c9-8 -p tcp -m tcp --dport 22 -j RETURN

测试一下,现在能够 ping 和 ssh test2 了。

root@controller:~# ip netns exec qdhcp-f66a4f50-6ce1-452f-a618-5ecf17f1f3e7 ping 172.16.100.19
PING 172.16.100.19 (172.16.100.19) 56(84) bytes of data.
64 bytes from 172.16.100.19: icmp_seq=1 ttl=64 time=1.45 ms
64 bytes from 172.16.100.19: icmp_seq=2 ttl=64 time=0.631 ms
64 bytes from 172.16.100.19: icmp_seq=3 ttl=64 time=0.642 ms
64 bytes from 172.16.100.19: icmp_seq=4 ttl=64 time=0.641 ms
^C
--- 172.16.100.19 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 2999ms
rtt min/avg/max/mdev = 0.631/0.841/1.451/0.352 ms
root@controller:~# ip netns exec qdhcp-f66a4f50-6ce1-452f-a618-5ecf17f1f3e7 ssh cirros@172.16.100.19
The authenticity of host '172.16.100.19 (172.16.100.19)' can't be established.
RSA key fingerprint is 9a:b5:80:77:5d:46:d9:f7:ac:47:44:43:7d:e1:97:69.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.16.100.19' (RSA) to the list of known hosts.
cirros@172.16.100.19's password: 
$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether fa:16:3e:eb:47:85 brd ff:ff:ff:ff:ff:ff
    inet 172.16.100.19/24 brd 172.16.100.255 scope global eth0
    inet6 fe80::f816:3eff:feeb:4785/64 scope link 
       valid_lft forever preferred_lft forever
$

小结

安全组有以下特性:
1. 通过宿主机上 iptables 规则控制进出 instance 的流量。
2. 安全组作用在 instance 的 port 上。
3. 安全组的规则都是 allow,不能定义 deny 的规则。
4. instance 可应用多个安全组叠加使用这些安全组中的规则。

文章参考每天5分钟玩转OpenStack安全组相关内容,为学习笔记:
http://www.cnblogs.com/CloudMan6/p/6081430.html
http://www.cnblogs.com/CloudMan6/p/6089335.html

Neutron安全组
烟云的计算
10-11 1543
Neutron Security Group 用于针对 Neutron Port 粒度进行 ACL 安全防护,支持设置多条 Security Group Rules 来定义 ACCEPT 操作集合,所以本质是一个 White List(白名单)ACL,即不支持显式的 DENY 操作(默认 DENY ALL)。在 Linux Kernel 中,网络连接状态记录功能由 CT(connection tracker)模块提供,作为 Netfilter 状态防火墙的支撑。
Openstack: Security Group: Neutron & Dragonflow;port_security_enabled;allowed_address_pairs
mzhan017的博客
02-04 524
搜索到的资料,供参考。 https://docs.openstack.org/developer/dragonflow/specs/security_groups.html Neutron的实现是在OVS桥和VM端口之间路径上添加了一个Linux桥。Linux桥是通过IP table 规则来实现端口的安全组。(因为OVS不支持iptables的配置) Current Neutron implementation adds a linux bridge in the path between each por
AWS - Security Group安全组
qq_44356236的博客
06-25 1586
EC2实例的安全组相关的知识点。
neutron security group
maidi_1983的专栏
07-11 1618
Neutron 安全组,是端口级别的安全手段,这一点跟fwass是区别的,fwass是子网间的流量安全防护,比如,同一租户的subnet A 与subnet B 之间,一般生效在子网间的路由器上,neutron原生实现是通过Iptables来做,业界厂商像cisco是由 VSA 来做的,fwass不在本文的描述范围。回到安全租,安全租是不仅仅局限在L2,
neutron安全组
jason的笔记
10-11 1615
在access & secure下面可以看到默认的安全组, 点击manager rules可以看到安全组的规则。 分别针对ipv4 和ipv6 允许所有外出(Egress)的流量,但禁止所有进入(Ingress)的流量 点击create secure group新建安全组 可以看到已经生成了新的安全组 点击manager r
Neutron — OvS-Agent 实现原理
烟云的计算
05-17 1922
Neutron OvS 系统拓扑 Neutron OvS 网络拓扑 首先关注计算机节点上的虚拟机流量是怎么被送出计算节点的,并在过程中插入介绍相关的虚拟网络设备于工作原理。其中,“内外 VID 转换机制“ 是一种 “分层兼容“ 设计方式。从分层的角度看,计算节点的网络模型可分为:显然,本地网络层和租户网络层之间必须存在一层转换。这就是所谓的 VID 转换。VID 是一个逻辑概念,针对不同的租户网络类型具有不同的 Tenant VID。同时,Tenant VID 的范围是由管理员租户定义的,具体而言是 ml2
neutron安全组功能点梳理总结
rtmdk的博客
04-13 5072
1.虚拟机安全组规则一致性检查 1.根据虚拟机id找到使用的port id。 2.根据port id找到port所在计算节点名字。 3.根据port id找到port所属安全组id。 4.根据安全组id查询对应的安全组规则。 5.Ssh到计算节点,根据port id查询对应的iptables规则。 6.自动分析安全组规则与iptables规则是否一致。 2.client中安全组相关接
Neutron — SR-IOV Agent
烟云的计算
02-20 4833
目录 文章目录目录前言Neutron 的网络实现模型基于虚拟网络设备的虚拟机流量走向Neutron 网络实现模型的性能瓶颈SR-IOV 技术简介在 Neutron 中引入 SR-IOV 技术基于 SR-IOV 技术的虚拟机流量走向Neutron 配置启用 SR-IOV 前言 该文章是基于「计算机系统应用」月刊文章《SR-IOV 技术在 OpenStack 中的应用》的学习、扩展与整理,感谢作者分享...
基于centos7.8 ____openstack ____(train版)手动部署 (八.neutron--ovs+vxlan模式---network节点)
qq_37692227的博客
08-20 810
neutron服务安装配置(network) ###1.安装软件包 yum --enablerepo=centos-openstack-train,epel -y install openstack-neutron openstack-neutron-ml2 openstack-neutron-openvswitch libibverbs ###2./etc/neutron/neutron.conf 配置 [root@network ~]# egrep -v "^$|^#" /etc/neutron/
“The Security Group”的综合分析,涵盖其**业务性质、财务状况、行业地位与技术实现**等多个维度
BLOG域名:programb.blog.youkuaiyun.com
04-22 339
“The Security Group”的含义需结合具体场景:在技术层面,它是网络安全的基础控制手段;在组织层面,它是企业安全的核心保障力量;在商业层面,它可能是提供专业安全服务的机构。无论是哪种场景,其核心目标都是**识别并降低安全风险,保护资产(数据、系统、业务)的保密性、完整性和可用性**。
OpenStack中的Security Group实现
yeasy的专栏
03-20 7983
【注】 Security Group在openstack中起到很重要的作用,它直接保护租户的vm。但不恰当的配置也容易导致各种莫名其妙的问题。 理解Security Group的实现,有助于理解OpenStack的设计理念和解决各种网络问题。 最新版pdf也可以从这里下载。 ----------------------------------------------------------
Openstack Nova Security Group——安全组之架构篇
热门推荐
成长的足迹
03-12 1万+
哈,又回来了! 公司同事说不要只停留在逻辑层,你要对跑在你程序底下的数据流也要非常的清楚。但是这里还是先介绍一下逻辑层,在代码的角度看是如何实现这个功能的,关于底层的数据流,还需要哦酝酿一段时间,之后会再总结一篇底层数据流的文章,真难为我了! 一、什么是安全组 安全组,翻译成英文是 security group安全组是一些规则的集合,用来对虚拟机的访问流量加以限制,这反映到
Neutron安全组分析(一)
xiakewudi的专栏
08-08 1193
1.       neutron安全组介绍 neutron安全组由L2 Agent来实现,也就是说L2Agent,比如 neutron-linuxbridge-agent,会将安全组规则转换成IPTables规则。一般发生在所有计算节点上,可以作用于任何进出虚拟机的流量。 2.       数据模型 2.1 eutron安全组共涉及五张表: Ports                   
neutron安全组分析(四)
xiakewudi的专栏
08-08 751
4.3.   安全组删除 1、 Neutron-client发送deletesecuritygroup消息(消息中包含要删除的安全组信息)给neutron-server,neutron-server调用securitygroupplugin中的delete_security_group方法处理消息; 2、 在delete_security_group方法中检查安全组是否绑定port
AWS security group 和 network ACL
Tom098的博客
05-23 3114
AWS security group 和 network ACL都定义了网络访问规则,用于控制哪些inbond和outbond traffic被允许或者被禁止。不同之处在于: AWS security group:应用于主机的流量访问控制。同一个security group可以跨不同的subnet甚至availability zone,但是不能跨VPC。(一个VPC可以跨多个Availability zone, 一个Availability zone就是一个数据中心,一个region下边可以有多个Ava.
AOS编排语言系列教程(五):创建安全组SecurityGroup
华为云官方博客
06-29 2228
【摘要】 安全组是逻辑上的分组,为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组规则是为弹性云服务器等添加的访问策略,以实现访问控制。上一章我们学习了如何创建弹性云服务器,我们基于上一个模板加入创建安全组的内容。 tosca_definitions_version: huaweicloud_tosca_version_1_0 node_templates: ...
Security group的流程分析nova篇
epugv的专栏
09-02 4457
Security group在G版本中可由nova和quantum分别来完成。Nova部分的底层由iptables完成,quantum部分应该也是。本文档主要分析nova部分,quantum部分待续。 1 首先由python-novaclient接收处理请求 /novaclient/v1_1/shell.py def _get_secgroup(cs, secgroup): #
neutron安全组分析(三)
xiakewudi的专栏
08-08 481
4.2.   安全组更新 1、 Neutron-client发送updatesecuritygroup消息给neutron-server,neutron-server调用securitygroupplugin中的update_security_group方法处理消息; 2、 在update_security_group方法中直接更新安全组表项。 3、 securitygroup
openstack neutron的所有命令行
03-31
28. neutron security-group-rule-create <group-id>:创建一个新的安全组规则 29. neutron security-group-rule-delete <rule-id>:删除指定的安全组规则 30. neutron security-group-rule-list <group-id>:列出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值