2023學年完整公開課版342neutron中的防火墻

neutron中的防火墻1任務描述華云數(shù)據(jù)集團基于CloudUltra?私有云為兵工物資集團構建私有云平臺，在保障平臺的高可靠性、高可用性、高安全性的基礎之上，為兵工物資集團提供持續(xù)性、可擴展性、可管理性的服務。和傳統(tǒng)模式相比基礎設施使用率提高了75%以上，數(shù)據(jù)可靠性提高到了99.9%，保證兵工物資集團數(shù)據(jù)安全可控，滿足集團業(yè)務需求。本節(jié)主要講解兵工物資集團構建私有云平臺項目的項目背景詳情目錄防火墻即服務實現(xiàn)細節(jié)典型場景其它問題2防火墻即服務3熟悉防火墻的都知道，防火墻一般放在網(wǎng)關上，用來隔離子網(wǎng)之間的訪問。因此，防火墻即服務（FireWallasaService）也是在網(wǎng)絡節(jié)點上（具體說來是在路由器命名空間中）來實現(xiàn)。目前，OpenStack中實現(xiàn)防火墻還是基于Linux系統(tǒng)自帶的iptables，所以大家對于其性能和功能就不要抱太大的期望了。一個可能混淆的概念是安全組（SecurityGroup），安全組的對象是虛擬網(wǎng)卡，由L2Agent來實現(xiàn)，比如neutron_openvswitch_agent和neutron_linuxbridge_agent，會在計算節(jié)點上通過配置iptables規(guī)則來限制虛擬網(wǎng)卡的進出訪問。防火墻可以在安全組之前隔離外部過來的惡意流量，但是對于同個子網(wǎng)內部不同虛擬網(wǎng)卡間的通訊不能過濾（除非它要跨子網(wǎng)）?？梢酝瑫r部署防火墻和安全組實現(xiàn)雙重防護。典型場景4租戶創(chuàng)建了一個網(wǎng)絡，并在其上分配了一個子網(wǎng)10.0.0.0/24，默認情況下，其它子網(wǎng)將不允許訪問該子網(wǎng)。租戶試圖通過防火墻規(guī)則來允許外部網(wǎng)絡對內部子網(wǎng)虛擬機22端口的訪問。OpenStack的FWaaS實現(xiàn)中有三個重要概念：FirewallPolicyRule典型場景5Firewall會綁定到某個Policy（因此必須先創(chuàng)建Policy之后才能創(chuàng)建一個Firewall）。Policy中可以包括若干條Rule。Rule即訪問控制的規(guī)則，包括源和目的子網(wǎng)、源和目的端口、協(xié)議、行動等。例如，我們創(chuàng)建一個Rule，允許其它網(wǎng)絡對內部子網(wǎng)中虛機端口22的TCP請求。實現(xiàn)細節(jié)6防火墻由L3Agent通過修改iptables規(guī)則來實現(xiàn)，具體規(guī)則在網(wǎng)絡節(jié)點的路由器命名空間中，作用到該租戶所有路由器的qr-xxx接口上。實現(xiàn)細節(jié)7在網(wǎng)絡節(jié)點上查看其中的iptables規(guī)則，會發(fā)現(xiàn)多了兩個iptables鏈，分別處理進出兩個方向的流量，被neutron-vpn-agen-FORWARD引用。其它問題8其實像類似這樣的高級服務，應該使用更為專業(yè)的實現(xiàn)，包括各種現(xiàn)成的防火墻硬件、軟件實現(xiàn)。但是很可惜的是，Neutron中防火墻的位置跟路由器結合的過于緊密，造成