2023學(xué)年完整公開(kāi)課版安全組1

安全組2一、什么是安全組安全組，翻譯成英文是securitygroup。安全組是一些規(guī)則的集合，用來(lái)對(duì)虛擬機(jī)的訪問(wèn)流量加以限制，這反映到底層，就是使用iptables，給虛擬機(jī)所在的宿主機(jī)添加iptables規(guī)則?？梢远xn個(gè)安全組，每個(gè)安全組可以有n個(gè)規(guī)則，可以給每個(gè)實(shí)例綁定n個(gè)安全組，nova中總是有一個(gè)default安全組，這個(gè)是不能被刪除的。創(chuàng)建實(shí)例的時(shí)候，如果不指定安全組，會(huì)默認(rèn)使用這個(gè)default安全組?，F(xiàn)在nova中安全組應(yīng)該會(huì)移到quantum中，并且會(huì)增加對(duì)虛擬機(jī)外出流量的控制?，F(xiàn)在nova中的安全組只是對(duì)進(jìn)入虛擬機(jī)的流量加以控制，對(duì)虛擬機(jī)外出流量沒(méi)有加以限制3二、整體構(gòu)架SecurityGroup在nova中是通過(guò)擴(kuò)展的形式實(shí)現(xiàn)的，關(guān)于NovaAPI的擴(kuò)展又是一大篇的文章才能介紹的清楚，這里就不說(shuō)了。其實(shí)感覺(jué)到RESTAPI是整個(gè)openstack項(xiàng)目中非常重要的組成部分，只有理解了RESTAPI才能更好的掌握openstack。真是長(zhǎng)見(jiàn)識(shí)了，原來(lái)API還可以是這樣。nova中的API擴(kuò)展機(jī)制非常的好，可以讓開(kāi)發(fā)人員很方便的定制自己想要的功能，只要添加一個(gè)文件到那個(gè)目錄中，工作就完成了80%了吧。安全組就是這樣一個(gè)擴(kuò)展，位于nova/api/openstack/compute/contrib/security_groups.py中，還是先來(lái)看一下實(shí)現(xiàn)它的靜態(tài)類圖吧：4每一個(gè)擴(kuò)展文件中都必須有一個(gè)和文件名同名的類，比如這里的類就是Security_groups，這個(gè)類就是把RESTAPI需要的controller和wsgi_action聚合在一起，加載擴(kuò)展的時(shí)候，就是加載的這個(gè)類，controller和wsgi_action中定義了對(duì)資源的各種操作，controller定義了show,create,index,delete等等操作，action定義了一些除了CIDR之外的額外的操作：5SecurityGroupController類定義了securitygroup的操作，也即對(duì)安全組，這個(gè)“組”的增刪查改操作。SecurityGroupRulesController類定義了對(duì)組中的規(guī)則的操作。ServerSecurityGroupController類定義了對(duì)和實(shí)例綁定的安全組的查詢操作。SecurityGroupActionController類中定義了把實(shí)例從安全組中添加/刪除。nova中有兩個(gè)非常重要的組件，一個(gè)是db，一個(gè)是messagequeue，db用來(lái)記錄各種狀態(tài)，messagequeue用來(lái)在各個(gè)服務(wù)和各個(gè)節(jié)點(diǎn)之間傳遞消息，這種機(jī)制，在這里可以得到非常好的體現(xiàn)。這些操作被封裝成為了一個(gè)類：SecurityGroupAPI，定義在了compute/api.py中，看代碼，在E版中這些代碼是和compute.API混在一起的，到了F版將和SecurityGroup相關(guān)的代碼抽取出來(lái)，封裝成了SecurityGroupAPI，這個(gè)類主要是封裝了對(duì)db的操作和rpc的操作。安全組在架構(gòu)上的實(shí)現(xiàn)想想其實(shí)也很簡(jiǎn)單，也沒(méi)什么架構(gòu)，基本上openstack中所有的組件都是這一個(gè)模式，db記錄狀態(tài)，然后發(fā)送rpc消息，調(diào)用一個(gè)第三方包去做xxx工作，然后再用db記錄狀態(tài)。c