035 OpenStack 關閉安全組

2022-08-28 02:33:11 字數 896 閱讀 6846

openstack neutron的安全組缺省會對每個網口開啟mac/ip過濾功能(防arp欺騙),不是該網口的mac/ip發出的包會被宿主機丟棄。這種限制會導致vnf的上行網口**的資料報被丟棄,無法到達vrouter。關閉安全組有兩種方法

第一種是整體關閉

# /etc/neutron/plugins/ml2/openvswitch_agent.ini

# /etc/neutron/plugins/ml2/linuxbridge_agent.ini

firewall_driver=none

整體關閉的弊端是所有的埠不在受安全組保護,私有雲尚且可以,公有雲會帶來安全隱患

區域性關閉

openstack neutron的mac/ip過濾是利用宿主機的iptables實現的,因此可以通過修改iptables配置來達到區域性關閉的效果,具體步驟如下:

為每個租戶建立完畢vnf後,從後台進入宿主機,找到對應網口的tap裝置,記下tap後面的id,例如sc5695d00-9。

iptables --line-numbers -nvl | grep $

檢視對應的條目

利用iptables -d ...刪除掉對應條目

另一種比較優雅的區域性關閉方法是使用openstack cli,可以關閉指定的port的安全組:

opnestack port set --no-security-group

openstack port set --disable-port-security

也可以為port新增允許通過的mac/ip

openstack port set --allowed-address ip=address=, mac-address=

OpenStack 關閉安全組

openstack neutron的安全組缺省會對每個網口開啟mac ip過濾功能 防arp欺騙 不是該網口的mac ip發出的包會被宿主機丟棄。這種限制會導致vnf的上行網口 的資料報被丟棄,無法到達vrouter。關閉安全組有兩種方法 第一種是整體關閉 etc neutron plugins m...

阿里雲ECS關閉刪除安騎士

linux 伺服器運維人員,都有一定程度的 潔癖 既然是沒有卵用的東西,自然就要關停掉,作為乙個常駐後台的程序始終給人的感覺怪怪的。其實已經注意這貨很久了,以前是擔心會對阿里雲服務有影響,後來發現僅僅是個擺設而已,不搜尋不知道,竟然有那麼多站長們都已經關閉和清除阿里雲盾 安騎士 了,並且好像方法還有...

阿里雲ECS關閉刪除安騎士

linux 伺服器運維人員,都有一定程度的 潔癖 既然是沒有卵用的東西,自然就要關停掉,作為乙個常駐後台的程序始終給人的感覺怪怪的。其實已經注意這貨很久了,以前是擔心會對阿里雲服務有影響,後來發現僅僅是個擺設而已,不搜尋不知道,竟然有那麼多站長們都已經關閉和清除阿里雲盾 安騎士 了,並且好像方法還有...