Atom feed of this document
  

 安全组

安全组和安全组规则允许管理员和租户可以指定流量类型和允许通过端口的方向 (ingress/egress)。安全组是一个安全组规则的容器。

当在 Networking 中创建了一个端口,它将与安全组关联。如果没有指定安全组,端口会关联到 'default' 安全组。默认情况下,这个安全组会丢掉所有入口的流量并允许所有出口的流量。如果要修改其行为,可以添加规则到这个安全组中。

要使用计算服务的安全组 API 或使用计算服务来在指定安全组上编排实例端口的创建,您必需完成额外的配置。您需要配置每个运行 nova-compute and nova-api 的节点上的 /etc/nova/nova.conf 文件并设置 security_group_api=neutron 选项。当您执行了这些修改,请重启 nova-apinova-compute 服务以加载这些修改。然后,您就可以同时使用计算服务和 OpenStack 的网络安全组 API 了。

[注意]注意
  • 要使用包含 Netwokring 的计算服务安全组 API,Networking 插件需要实现安全组的 API。目前下列插件实现了这些:ML2、Open vSwitch、Linux Bridge、NEC 和 VMware NSX。

  • 您需要在插件/代理的配置文件的 securitygroup 小节中设置正确的防火墙驱动。一些插件和代理,如 Linux Bridge Agent 和 Open vSwitch Agent,默认使用非操作的驱动,会导致安全组不能正常工作。

  • 如果通过计算服务使用安全组 API,安全组会应用到实例的所有端口上。导致这样的原因是计算服务安全组 API 是基于实例的,而非基于 Networking 端口的。

Questions? Discuss on ask.openstack.org
Found an error? Report a bug against this page


loading table of contents...