前面我们学习了安全组,今天学习另一个与安全相关的服务 -- FWaaS。

理解概念

Firewall as a Service(FWaaS)是 Neutron 的一个高级服务。
用户可以用它来创建和管理防火墙,在 subnet 的边界上对 layer 3 和 layer 4 的流量进行过滤。

传统网络中的防火墙一般放在网关上,用来控制子网之间的访问。 FWaaS 的原理也一样,是在 Neutron 虚拟 router 上应用防火墙规则,控制进出租户网络的数据。

FWaaS 有三个重要概念: Firewall、Policy 和 Rule。

Firewall
租户能够创建和管理的逻辑防火墙资源。 Firewall 必须关联某个 Policy,因此必须先创建 Policy。

Firewall Policy
Policy 是 Rule 的集合,Firewall 会按顺序应用 Policy 中的每一条 Rule。

Firewall Rule
Rule 是访问控制的规则,由源与目的子网 IP、源与目的端口、协议、allow 或 deny 动作组成。
例如,我们可以创建一条 Rule,允许外部网络通过 ssh 访问租户网络中的 instance,端口为 22。

与 FWaaS 容易混淆的概念是安全组(Security Group)。

安全组的应用对象是虚拟网卡,由 L2 Agent 实现,比如 neutron_openvswitch_agent 和 neutron_linuxbridge_agent。
安全组会在计算节点上通过 iptables 规则来控制进出 instance 虚拟网卡的流量。
也就是说:安全组保护的是 instance

FWaaS 的应用对象是 router,可以在安全组之前控制外部过来的流量,但是对于同一个 subnet 内的流量不作限制。
也就是说:FWaaS 保护的是 subnet

所以,可以同时部署 FWaaS 和安全组实现双重防护。

启用 FWaaS

因为 FWaaS 是在 router 中实现的,所以 FWaaS 没有单独的 agent。 已有的 L3 agent 负责提供所有 FWaaS 功能。

要启用 FWaaS,必须在 Neutron 的相关配置文件中做些设置。

配置 firewall driver

Neutron 在 /etc/neutron/fwaas_driver.ini 文件中设置 FWaaS 使用的 driver。 如下图所示:

这里 driver 为 iptables。如果以后支持更多的 driver,可以在这里替换。

配置 Neutron

在 Neutron 配置文件 /etc/neutron/neutron.conf  中启用 FWaaS plugin。

配置完毕!下节我们开始创建 Firewall。

本文转自CloudMan6 51CTO博客,原文链接:http://blog.51cto.com/cloudman/1876429

理解 Neutron FWaaS - 每天5分钟玩转 OpenStack(117)相关推荐

  1. Neutron 架构 - 每天5分钟玩转 OpenStack(67)

    前面我们讨论了 Neutron 的基本概念,今天我们开始分析 Neutron 的架构. Neutron 架构 与 OpenStack 的其他服务的设计思路一样,Neutron 也是采用分布式架构,由多 ...

  2. 理解 Cinder 架构 - 每天5分钟玩转 OpenStack(45)

    从本节开始我们学习 OpenStack 的 Block Storage Service,Cinder 理解 Block Storage 操作系统获得存储空间的方式一般有两种: 通过某种协议(SAS,S ...

  3. 通过例子理解 k8s 架构 - 每天5分钟玩转 Docker 容器技术(122)

    为了帮助大家更好地理解 Kubernetes 架构,我们部署一个应用来演示各个组件之间是如何协作的. 执行命令 kubectl run httpd-app --image=httpd --replic ...

  4. 如何使用 OpenStack CLI - 每天5分钟玩转 OpenStack(22)

    http://www.cnblogs.com/CloudMan6/p/5402490.html 如何使用 OpenStack CLI - 每天5分钟玩转 OpenStack(22) 本节首先讨论 p_ ...

  5. 部署 DevStack - 每天5分钟玩转 OpenStack(17)

    http://www.cnblogs.com/CloudMan6/p/5357273.html 部署 DevStack - 每天5分钟玩转 OpenStack(17) 本节按照以下步骤部署 DevSt ...

  6. 写在最前面 - 每天5分钟玩转 OpenStack(1)

    写在最前面 <每天5分钟玩转 OpenStack>是一个 OpenStack 教程,这是第 1 篇. 这个教程有下面两个特点: 系统讲解 OpenStack 从架构到各个组件:从整体到细节 ...

  7. LVM 类型的 Storage Pool - 每天5分钟玩转 OpenStack(8)

    http://www.cnblogs.com/CloudMan6/p/5277927.html LVM 类型的 Storage Pool - 每天5分钟玩转 OpenStack(8) LVM 类型的 ...

  8. Pause/Resume Instance 操作详解 - 每天5分钟玩转 OpenStack(34)

    Pause/Resume Instance 操作详解 - 每天5分钟玩转 OpenStack(34) 本节通过日志详细分析 Nova Pause/Resume 操作. 有时需要短时间暂停 instan ...

  9. Cinder 组件详解 - 每天5分钟玩转 OpenStack(47)

    Cinder 组件详解 - 每天5分钟玩转 OpenStack(47) 本节我们将详细讲解 Cinder 的各个子服务. cinder-api cinder-api 是整个 Cinder 组件的门户, ...

最新文章

  1. python装饰器教学_Python装饰器学习(九步入门)
  2. Navicat中查询哪些表有指定的字段名(技巧)
  3. 超级简单的权限类[结合CI和DWZ]
  4. 2019牛客多校一 D. Parity of Tuples
  5. VTK:Rendering之DiffuseSpheres
  6. C++两个整数的总和是否为整数溢出的算法实现(附完整源码)
  7. java相遇问题_行程问题
  8. JS设计模式——10.门面模式
  9. 边缘计算(edge computing)中computation offloading、resource allocation、resource provisioning的区别
  10. NYOJ4——ASCII码排序
  11. WEB UI基础八:链接跳转到标准的工单界面
  12. 使用基于轮询的SQL数据缓存依赖
  13. kotlin-android-extensions扩展的导入
  14. html绑定drag事件,html 5自带drag属性详解
  15. html5网页制作心得体会,学习网页制作心得体会范文3篇
  16. SpringCloud项目 CICD 部署
  17. Linux下QtCreator不能使用搜狗输入法输入中文
  18. Hadoop之——重新格式化HDFS的方案
  19. vuforia 模型识别_汽车的优势:Vuforia模型目标
  20. powerbi使用说明_一起学微软Power BI系列-官方文档-入门指南(3)Power BI建模

热门文章

  1. robocopy file backup script
  2. Android--intent详解
  3. 构建LINUX下的入侵检测系统——LIDS 系统管理命令--vlock
  4. 用c语言实现随机无向图的生成,C ++程序为给定数量的边生成随机无向图
  5. 宝山区佳力图服务器空调维修价格,成都佳力图空调维修师傅
  6. 仪表仪器信息管理C语言,仪器仪表管理系统C语言课程实习报告
  7. MySQL高级 - 案例 - 系统性能优化 - 读写分离概述
  8. MySQL高级 - 锁 - MySQL对锁的支持
  9. 延迟队列Delay Queue
  10. 分布式ID-号段模式