openstack neutron的安全組缺省會對每個網口開啟mac/ip過濾功能(防arp欺騙),不是該網口的mac/ip發出的包會被宿主機丟棄。這種限制會導致vnf的上行網口**的資料報被丟棄,無法到達vrouter。關閉安全組有兩種方法
第一種是整體關閉
# /etc/neutron/plugins/ml2/openvswitch_agent.ini# /etc/neutron/plugins/ml2/linuxbridge_agent.ini
firewall_driver=none
整體關閉的弊端是所有的埠不在受安全組保護,私有雲尚且可以,公有雲會帶來安全隱患
區域性關閉
openstack neutron的mac/ip過濾是利用宿主機的iptables實現的,因此可以通過修改iptables配置來達到區域性關閉的效果,具體步驟如下:
為每個租戶建立完畢vnf後,從後台進入宿主機,找到對應網口的tap裝置,記下tap後面的id,例如sc5695d00-9。
iptables --line-numbers -nvl | grep $
檢視對應的條目
利用iptables -d ...刪除掉對應條目
另一種比較優雅的區域性關閉方法是使用openstack cli,可以關閉指定的port的安全組:
opnestack port set --no-security-group
openstack port set --disable-port-security
也可以為port新增允許通過的mac/ip
openstack port set --allowed-address ip=address=, mac-address=
OpenStack 關閉安全組
openstack neutron的安全組缺省會對每個網口開啟mac ip過濾功能 防arp欺騙 不是該網口的mac ip發出的包會被宿主機丟棄。這種限制會導致vnf的上行網口 的資料報被丟棄,無法到達vrouter。關閉安全組有兩種方法 第一種是整體關閉 etc neutron plugins m...
阿里雲ECS關閉刪除安騎士
linux 伺服器運維人員,都有一定程度的 潔癖 既然是沒有卵用的東西,自然就要關停掉,作為乙個常駐後台的程序始終給人的感覺怪怪的。其實已經注意這貨很久了,以前是擔心會對阿里雲服務有影響,後來發現僅僅是個擺設而已,不搜尋不知道,竟然有那麼多站長們都已經關閉和清除阿里雲盾 安騎士 了,並且好像方法還有...
阿里雲ECS關閉刪除安騎士
linux 伺服器運維人員,都有一定程度的 潔癖 既然是沒有卵用的東西,自然就要關停掉,作為乙個常駐後台的程序始終給人的感覺怪怪的。其實已經注意這貨很久了,以前是擔心會對阿里雲服務有影響,後來發現僅僅是個擺設而已,不搜尋不知道,竟然有那麼多站長們都已經關閉和清除阿里雲盾 安騎士 了,並且好像方法還有...