neutron security group
来源:互联网 发布:中国农产品进出口数据 编辑:程序博客网 时间:2024/06/12 22:59
概述
Neutron 安全组,是端口级别的安全手段,这一点跟fwass是区别的,fwass是子网间的流量安全防护,比如,同一租户的subnet A 与subnet B 之间,一般生效在子网间的路由器上,neutron原生实现是通过Iptables来做,业界厂商像cisco是由 VSA 来做的,fwass不在本文的描述范围。回到安全租,安全租是不仅仅局限在L2,L3也是可以的,L2,L3是解决网络连通性问题,而安全组,解决端口安全问题,两个不同的侧面,所以,在neutron里,network本身是隔离的,为什么安全组还是有存在必要。
API 模型
neutron 安全组,有两个对象,一个是security_group,另一个是security_group_rule,一个security_group里可以包含若干个security_group_rule,详细API 模型及支持的操作请参考: Security Group API
安全组通过port 生效在虚拟机上,port,security_group和security_group_rule的关系图如下:
、
安全组分类
安全组分位用户定义和系统默认的,系统默认安全组,是当port没绑定安全组的任何安全组的时候,系统自动绑定的安全组,默认安全组是属于租户级别的
,默认安全组,创建的时候,只有ingress的规则,用户定义的安全组,创建的时候,只用engress的规则。在创建安全组规则的时候,关于对端的指定,既可以通过字段remote_ip_prefix,也可以通过字段remote_group_id 来指定,推荐使用 remote_ip_prefix来指定,这样在数据面的生成的iptables规则要少的多。
安全组的生成过程
当创建的port的时候,
- neutron security group
- Neutron总结-security group
- Neutron 理解 (8): Neutron 是如何实现虚机防火墙的 [How Neutron Implements Security Group]
- Neutron 理解 (8): Neutron 是如何实现虚机防火墙的 [How Neutron Implements Security Group]
- openstack neutron Unauthorized: Authentication required和neutron security-group-list 404 not Found
- 云安全之Neutron 是如何实现虚机防火墙的 [How Neutron Implements Security Group]
- 云安全之 Neutron 网络 和 Nova虚机 防火墙的 [How Nova Implements Security Group and How Neutron Impleme
- Neutron 理解 (9): OpenStack 是如何实现 Neutron 网络 和 Nova虚机 防火墙的 [How Nova Implements Security Group and How
- Neutron Group Based Policy 印象 (by quqi99)
- java.security.acl.Group翻译
- OpenStack中的Security Group实现
- OpenStack中的Security Group实现
- neutron
- Neutron
- Security group的流程分析nova篇
- openstack的security group的正确配置
- 在Spring Security中启用Group Authorities
- 如何设置aws的instance的security group
- JDK动态代理与CGLIB动态代理
- 生活必备常识
- zabbix配置脚本服务端与客户端
- SQOOP连接SQLServer2005错误
- C++基础---基本编程语句
- neutron security group
- 如何用C语言封装 C++的类,在 C里面使用
- POJ 2562 Primary Arithmetic(高精度)
- 【leetcode】Longest Valid Parentheses
- java 抽象类和接口的区别
- C语言文件的输入输出_学生的信息
- 数列第k大
- 黑马程序员——Java 多线程
- MotionEvent事件传递个人总结