openstack neutron的安全組缺省會對每個網口開啟mac/ip過濾功能(防arp欺騙),不是該網口的mac/ip發出的包會被宿主機丟棄。這種限制會導致vnf的上行網口**的資料報被丟棄,無法到達vrouter。關閉安全組有兩種方法
第一種是整體關閉
# /etc/neutron/plugins/ml2/openvswitch_agent.inifirewall_driver=none
整體關閉的弊端是所有的埠不在受安全組保護,私有雲尚且可以,公有雲會帶來安全隱患
區域性關閉
openstack neutron的mac/ip過濾是利用宿主機的iptables實現的,因此可以通過修改iptables配置來達到區域性關閉的效果,具體步驟如下:
為每個租戶建立完畢vnf後,從後台進入宿主機,找到對應網口的tap裝置,記下tap後面的id,例如sc5695d00-9。
iptables --line-numbers -nvl | grep $
檢視對應的條目利用iptables -d ...刪除掉對應條目
另一種比較優雅的區域性關閉方法是使用openstack cli,可以關閉指定的port的安全組:
opnestack port set --no-security-group
openstack port set --disable-port-security
也可以為port新增允許通過的mac/ip
openstack port set --allowed-address ip=address=, mac-address=
035 OpenStack 關閉安全組
openstack neutron的安全組缺省會對每個網口開啟mac ip過濾功能 防arp欺騙 不是該網口的mac ip發出的包會被宿主機丟棄。這種限制會導致vnf的上行網口 的資料報被丟棄,無法到達vrouter。關閉安全組有兩種方法 第一種是整體關閉 etc neutron plugins m...
openstack安全組ovs實現原理
目標ip 10.211.202.16 目標mac fa 16 3e f1 2a 30 該網路對應的外部vlan id 202 分析ssh 10.211.202.16時的流表匹配過程 root xs compute07 ovs ofctl dump flows br bond1 cookie 0x9e...
預設OpenStack安全組 如何更改規則?
openstack安全組讓管理員可以控制進入雲計算例項的流量。但是,有乙個問題,在預設的組是否可以更改規則?首先,沒有類似於預設openstack安全組這樣的事。每個專案都有自己的預設組,它在管理員開始乙個新專案之時就已經建立。這些安全組帶有標準規則,不允許對該專案中的例項進行訪問。預設openst...