Neutron 默認安全組規則 - 天天5分鐘玩轉 OpenStack（115）

Neutron 爲 instance 提供了兩種管理網絡安全的方法：

安全組（Security Group）和虛擬防火牆。

安全組的原理是經過 iptables 對 instance 所在計算節點的網絡流量進行過濾。

虛擬防火牆則由 Neutron Firewall as a Service（FWaaS）高級服務提供。
其底層也是使用 iptables，在 Neutron Router 上對網絡包進行過濾。

這兩種安全方案咱們都會討論，本章先重點學習安全組。

默認安全組

每一個 Project（租戶）都有一個命名爲 「default」 的默認安全組。

點擊菜單 Project -> Compute -> Access & Security，查看 Security Group 列表。

點擊按鈕，查看 「default」 安全組的規則。

「default」 安全組有四條規則，其做用是：
容許全部外出（Egress）的流量，但禁止全部進入（Ingress）的流量。

當咱們建立 instance 時，能夠在 「Access & Security」 標籤頁中選擇安全組。
若是當前只有 「default」 這一個安全組，則會強制使用 「default」 。

當前在 devstack-controller 上有 instance 「cirros-vm1」。

在 devstack-controller 上執行 iptables-save 命令查看相關規則。
iptables 的規則較多，這裏咱們節選了 cirros-vm1 相關的規則。
這些規則是 Neutron 根據安全組自動生成的。
若是你們想深刻理解 iptables，可 google 相關文檔。

cirros-vm1 的 TAP interface 爲 tap8bca5b86-23，能夠看到：
1. iptables 的規則是應用在 Neutron port 上的，port 在這裏是 cirros-vm1 的虛擬網卡 tap8bca5b86-23。
2. ingress 規則集中定義在命名爲 「neutron-linuxbri-i8bca5b86-2」 的 chain 中。
3. egress  規則集中定義在命名爲 「neutron-linuxbri-o8bca5b86-2」 的 chain 中。

下面咱們經過 dhcp namespace 對 cirros-vm1 進行 ping 和 ssh 測試。

沒法 ping 和 ssh cirros-vm1，可見當前的規則實現了 「default」 安全組，全部 ingress 流量都被禁止。

下節咱們會建立新的安全組容許 ping 和 ssh。