OpenStack neutron floatingips 与 iptables 深入分析

最新推荐文章于 2024-08-02 04:14:19 发布
最新推荐文章于 2024-08-02 04:14:19 发布
阅读量1w 收藏 8
点赞数 2
分类专栏: OpenStack Neutron 文章标签: neutron floatingip iptables neutron-l3-agent
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/starean/article/details/16860819
版权
本文深入探讨了OpenStack neutron-l3-agent如何利用iptables实现网络三层协议,包括SNAT、DNAT地址转换。详细介绍了iptables的链拓扑结构和表结构,特别是PREROUTING和POSTROUTING链的功能。通过实例展示了floating IP与fixed IP的绑定过程,并解释了NAT原理,以及虚拟机间的网络通信测试。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 简介neutron-l3-agent

OpenStack neutron-l3-agent 主要负责实现网络三层协议,为虚拟机完成SNAT,DNAT等地址的转换与伪装,提供安全弹性隔离的云网络环境,

下面详细叙述了OpenStack如何使用iptables链与规则完成复杂的neutron-l3-agent 的网络地址转换(NAT)功能,虚拟机floating ip与fixed ip绑定的工作原理。


2. iptables 简介

    2.1 iptables 链拓扑结构


  2.2 iptables 表结构

           Table filter: 

                Chain INPUT

                Chain FORWARD

                Chain OUTPUT

            filter 表用于一般的信息包过滤,它包含 INPUT 、 OUTPUT 和 FORWARD 链。

          Table nat:

                Chain PREROUTING

                Chain OUTPUT

                Chain POSTROUTING

           PREROUTING 链由指定信息包一到达防火墙就改变它们的规则所组成,而 POSTROUTING 链由指定正当信息包打算离开防火墙时改变它们的规则所组成。 


3. iptables command

# 添加一条规则到 INPUT 链的末尾,ACCEPT 来自源地址 10.9.1.141 的包

[root@xianghui-10-9-1-141 ~]# iptables -A INPUT -s 10.9.1.141  -j ACCEPT

#允许protocol为TCP 、 UDP 、 ICMP 的包通过

[root@xianghui-10-9-1-141 ~]# iptables -A INPUT -p TCP, UDP

# 从INPUT链中删除掉规则“Drop 到端口80的包” 
[root@xianghui-10-9-1-141 ~]# iptables -D INPUT --dport 80 -j DROP
# 将 INPUT 链的缺省规则指定为 DROP  
[root@xianghui-10-9-1-141 ~]# iptables -P INPUT DROP

# 创建一个新链new-chain

[root@xianghui-10-9-1-141 ~]# iptables -N new-chain

# 删除Table filter 中的所有规则

[root@xianghui-10-9-1-141 ~]# iptables -F

# 列出INPUT链中的所有规则

[root@xianghui-10-9-1-141 ~]# iptables -L INPUT

# 删除链 

[root@xianghui-10-9-1-141 ~]# iptables -X

4. 配置neutron-l3-agent  

[root@xianghui-10-9-1-141 ~]# neutron router-create router1
+--------------------------------------+---------+-----------------------+
| id                                   | name    | external_gateway_info |
+--------------------------------------+---------+-----------------------+
|c36b384e-b1f5-45e5-bb4f-c3ed32885142 | router1 | null |
+--------------------------------------+---------+-----------------------+
[root@xianghui-10-9-1-141 ~]# vi /etc/neutron/l3_agent.ini
interface_driver = neutron.agent.linux.interface.OVSInterfaceDriver 
# OS is RHEL6.4, not support namespace
use_namespaces = False
# This is done by setting the specific router_id.
router_id = c36b384e-b1f5-45e5-bb4f-c3ed32885142
# Name of bridge used for external network traffic. This should be set to
#
最低0.47元/天 解锁文章
OpenStack Neutron3):创建instance分配floating IPneutron原理分析
金锐谈云
04-07 2103
现在可以通过Dashboard创建instance并且分配floating IP,从而我们可以通过外网随意访问创建的instance,例如ping或者SSH。需要注意的是在分配security group的时候,如果要使用Default 的security group,需要添加并允许所有的ICMP和SSH,虽然Default的security group已经允许了any protocol的any ...
openstackneutron介绍
查士丁尼绵_的博客
04-12 792
neutron-server:提供API接口,把对应的api请求传给plugin进;neutron-plugin:管理逻辑网络状态,调用agentneutron-agent:在provider network上创建网络对象;neutron-dhcp-agent:轻量级进程dnsmasq绑定到指定命名空间中的 br-int 的接口上,实现dns、tftp、dhcp等功能;
openstackiptables的使用
weixin_34297704的博客
01-08 369
openstack中nova使用了iptables实现其网络相关功能,乍看openstackiptables表比较复杂,整理了一下iptables的filter表和nat表的结构,以一个all in one的openstackiptables表为例,展示了iptables的filter表和nat表在openstack中的使用。 Filter表   INPUT链结构: ...
Attaching Multiple Network Interfaces and Floating IPs to OpenStack Instances with Neutron
zongyimin的博客
08-22 344
There are a number of use cases where you may need to connect multiple floating IPs to existing OpenStack instances. However the functionality to do this is not exposed via the Horizon Dashboard. This
openstack中nova组件Hypervisors、Floating_ips的所有python API 汇总
yang.zhou欢迎各位
06-24 1982
Floating_ips class novaclient.v2.floating_ips.FloatingIP(manager, info, loaded=False) Bases: novaclient.openstack.common.apiclient.base.Resource Populate and bind to a manager.
OpenStack iptables(NAT)学习笔记
熊崽Kevin
01-04 3831
对照IBM的OpenStack iptables资料学习NAT表中加入的相关规则。 1 root@eccp-compute-01:~# iptables-save -t nat 2 # Generated by iptables-save v1.4.12 on Sat Jan 4 20:16:24 2014 3 *nat 4 :PREROUTING ACCEPT [7378:91938
OpenStack核心组件-neutron
m0_73901077的博客
12-03 2064
(8)Agent向虚拟机提供二层和三层的网络连接、完成虚拟网络和物理网络之间的转换、提供扩展服务等。3、plugin 的一个主要的职责是在数据库中维护 Neutron 网络的状态信息,这就造成一个问题:所有 network provider 的 plugin 都要编写一套非常类似的数据库访问代码。2. 不同 plugin 之间存在大量重复代码,开发新的 plugin 工作量大所有传统的 core plugin 都需要编写大量重复和类似的数据库访问的代码,大大增加了 plugin 开发和维护的工作量。
OpenStack计算节点Neutron计算节点的安装部署
m0_58113977的博客
06-22 656
配置 Linux 网桥代理(https://docs.openstack.org/neutron/wallaby/install/compute-install-option2-ubuntu.html#configure-the-linux-bridge-agent)/etc/apache2/conf-available/openstack-dashboard.conf如果不包括,则添加以下行。(1)学习掌握Linux网桥代理,配置计算服务以使用网络服务,安装计算节点。为计算节点的管理IP地址。
Open vSwitch---流表控制主机数据转发实验(三)---实现NAT地址转换(2)
北风
01-27 2117
上一篇博客中,我介绍了如何使用iptables实现ovs连接的主机的nat地址转换,在本节中,通过实验介绍如何使用流表来实现nat地址的转换。(上节详见:https://blog.youkuaiyun.com/weixin_40042248/article/details/112975072) 实验目的:使用NAT转换使得ovs连接的主机可以和外界的互联网连接,实验中,使用114.114.114.114作为ping的对象,NAT转换可以参考前文(https://blog.youkuaiyun.com/weixin_4004224
深入理解Neutron- OpenStack 网络实现- PDF版本
11-21
深入理解Neutron-- OpenStack 网络实现- PDF版本 深入理解Neutron 中文版资源
Neutron出现的floating IP 没有正常释放
weixin_34406061的博客
10-22 211
2015年10月19日晚,由于公司为一个项目,需要借助一套内部测试的Juno云平台,作为10月28号国家领导人的参观,需要修改一个域名映射分配公网IP,而这之前有一套Icehouse云平台把所有公网IP段都已经分配,不过有5个IP没有被使用,所以我把IP分配给测试Juno平台,就在这时IP出现冲突,之前已经有一个把我的IP使用没有告诉我,导致他的应用不能使用,就算我...
openstack---neutron commands list
Rachel Wang的little tree
11-07 581
This is got from neutron help. usage: neutron [--version] [-v] [-q] [-h] [-r NUM]                [--os-service-type ]                [--os-endpoint-type ]                [--service-type ]    
floating IP 原理分析 - 每天5分钟玩转 OpenStack(107)
weixin_34311757的博客
11-02 619
上一节我们通过 Web UI 创建为 cirros-vm3 分配了浮动 IP,今天将分析其工作原理。 首先查看 router 的 interface 配置: 可以看到,floating IP 已经配置到 router 的外网 interface qg-b8b32a88-03 上。 查看 router 的 NAT 规则: iptables 增加了两条处理 floating IP 的规则:...
Openstack学习笔记2-Neutron
woody_0011的博客
12-19 1139
3.4 Neutron概述neutron:网络服务,负责接收对网络的调用请求 网络管理和配置是云计算中一项非常重要的功能。nova自带的nova-network实现了一些基本的网络模型,允许虚拟机之间的相互通信及虚拟机对internet的访问。归纳的来讲nova network的主要功能有:  网络模型:nova network实现了三种网络模型,允许管理员根据自己的需要进行组网,让虚拟机
openstack floatip在哪里配置
最新发布
weixin_37081213的博客
08-02 110
我整理的一些关于【OpenStack】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://edu.51cto.com/surl=QsXoR2OpenStack 中的浮动 IP 配置指南 作为一名刚入行的开发者,了解如何在 OpenStack 中配置浮动 IP 是一项重要的技能。浮动 IP 允许你将一个公...
neutron分配浮动IP(floating ip)的方法
热门推荐
oneinmore的专栏
12-22 1万+
当前所用版本juno,其他版本也应该可行。 虚拟机的(虚拟)网络接口相关概念:   虚拟网络(内部网络,私有网络):虚拟机的虚拟机网卡所在的私有网络   fixed ip:虚拟机网卡在虚拟网络上的IP   floating ip: 虚拟网络对应的外部网络上的IP   port: 一个网络接口对应一个Port   interface: 一个网络接口 场景1:单网卡    
创建 floating IP - 每天5分钟玩转 OpenStack(106)
weixin_34392906的博客
10-31 202
先复习一下前面我们讨论的知识。 当租户网络连接到 Neutron router,通常将 router 作为默认网关。当 router 接收到 instance 的数据包,并将其转发到外网时: 1. router 会修改包的源地址为自己的外网地址,这样确保数据包转发到外网,并能够从外网返回。 2. router 修改返回的数据包,并转发给真正的 instance。 这个行为被称作 Source ...
OpenStack命令操作【Openstack证书考试 2022】
qq_47848696的博客
04-22 5055
一、keystone 身份认证服务 1.1、配置用户环境变量 1、切换用户(admin):source /home/devstack/openrc admin 2、获取所有用户列表: openstack user list 3、获取环境变量 :export | grep OS 其中: OS_AUTH_TYPE=“password” : “密码验证 OS_AUTH_URL=“http://172.25.0.10/identity” : keyston
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值