重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
小编给大家分享一下openstack mitaka版本fwaas v1是怎么样的,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!
站在用户的角度思考问题,与客户深入沟通,找到昆都仑网站设计与昆都仑网站推广的解决方案,凭借多年的经验,让设计与互联网技术结合,创造个性化、用户体验好的作品,建站类型包括:网站设计制作、成都做网站、企业官网、英文网站、手机端网站、网站推广、申请域名、虚拟主机、企业邮箱。业务覆盖昆都仑地区。
首先配置参考的是https://docs.openstack.org/ocata/networking-guide/fwaas-v1-scenario.html
原理性的东西就不在这里介绍了,网上有很多参考资料。简单的归纳一下,openstack的fwaas是基于router namespace的iptables来实现的,配置、重启服务、添加FireWall 规则之后,如果没有新的iptables规则出现,那就会导致配置FireWall rules无法生效,我在实际测试过程中就遇到了这个问题。研究了一下代码发现,问题的核心出在了这段代码上:
/usr/lib/python2.7/site-packages/neutron_fwaas/services/firewall/drivers/linux/iptables_fwaas.py
研究了一下,这段代码总觉得很奇怪。一般来说,ovs版本的route都会配置为DVR类型,所以按照这段代码的逻辑,只有route配置了外部网关,才会在controller节点出现类似snat-0411a7ef-7aa8-4584-ad40-6d1e7be9a309这样的namespace;只有虚机绑定了浮动ip,才会在compute节点出现类似fip-fd5962ff-2177-402e-bec6-6a307e890868这样的namespace。也就是这分布式路由的场景下,FireWall只能控制南北向的流量,无法控制东西向的流量(因为没有用到router_info.iptables_manager)。
所以如果想控制东西向流量,只能将“if not router_info.router.get('distributed'):”这行代码去掉,这样FireWall的rules才会下发到每个节点的qrouter-xxxxxx的namespace中。
以上是“openstack mitaka版本fwaas v1是怎么样的”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注创新互联行业资讯频道!