阐述OpenStack用iptables、链和规则处理联网

作者详细介绍了 nova-network FlatDHCPManager 组件,以及其他的 OpenStack 组件。Iptable 是一个用户空间应用程序,允许系统管理员配置由 Linux® 内核防火墙提供的表。

本文阐述了 OpenStack 用 iptables、链和规则处理联网的,这跟其他系统非常类似。但是首先,让我们先来看看 iptables 的结构,作为本文内使用技术的前奏。

iptable 的结构

iptable 是一个用户空间应用程序,允许系统管理员配置由 Linux 内核防火墙提供的表;iptable 专指 IPv4 网络。

要设置一个 Linux 防火墙,就要使用规则,每个规则指定在包中与什么匹配,以及对包执行什么操作。链 是一个规则列表。

Iptable 的前身 ipchains 增加规则链的概念;iptable 则将概念扩展为表。所以 iptable 的结构是:iptables > tables > chains > rules。

iptable 具有四个内置表:

Filter 表:默认表,具有如下链: INPUT 用于传到本地服务器的包。 OUTPUT 用于本地生成以及传出本地服务器的包。 FORWARD 用于通过本地服务器路由的包。 NAT 表(网络地址转换): PREROUTING:用于目的 NAT,它在路由前更改包 IP 地址。 POSTROUTING:用于源 NAT,它在路由前更改包 IP 地址。 OUTPUT:用于防火墙上本地生成包的 NAT。 Mangle 表:用于特定包的更改: PREROUTING OUTPUT FORWARD INPUT POSTROUTING Raw 表:用于配置免除: PREROUTING OUTPUT OpenStack 内的 iptable

在 OpenStack 内,您会在 Compute-Nova 模块中发现 iptable 链和规则占主导作用,该模块是使用 Python 编写并使用在多数外部库的云计算结构控制器(IaaS 系统的主要部分)。本文详细介绍了 nova-network FlatDHCPManager 组件以及其他联网任务所需的 OpenStack 组件。

在开始时,OpenStack 定义了一些 OpenStack 链。这些链与 Linux 内置链形成了一个链结构。启动时的另一个任务是为固定的网络范围和元数据服务定义一些规则。创建并使用网络后,nova-network 就会设置一些规则。当创建一个实例(也称为一个服务器和 VM)后,nova-compute 就会创建一个特定于实例的链并设置此链下的规则以确保实例的连接性。就浮动 IP 而言,OpenStack 也可使用一些规则以正常运行起来。此外,OpenStack 的安全性组及其规则是由 iptables 规则体现。

初识 OpenStack

OpenStack 是一个由开发者和云计算技术人员的全球协作开发的面向公共和私有云的标准云操作系统,是在 Apache 许可条款下发布的免费开源软件。云服务提供者、企业和政府组织均可使用这个免费的 Apache 许可的软件来构建可大规模伸缩的云环境。

OpenStack 目前包含六个核心软件项目:

Cloud Compute-Nova Cloud Storage-Swift Image Service-Glance(交付和注册) Identity Service-Keystone Dashboard-Horizon Network Connectivity-Quantum

这些项目以及充满活力的技术提供者和未来项目组成的生态系统带来了一个面向公共和私有云的可插入式的框架和操作系统。

Nova 项目内拥有 10 多个命令,其中的 3 个与 VM 连接性有关:

nova-api 为 VM 提供元数据服务。 nova-compute 为 VM 设置
网络环境。 nova-network 为整个云生态系统设置网络环境,如 IP 配置和 DHCP 设置等任务。

虽然 Nova 要求并与很多本机系统组件集成,用于数据库、消息接送功能和虚拟化功能,但它的模块主要由一组 Python 守护进程组成。它使用了一个特殊的元数据服务来使虚拟机实例检索特定于实例的数据。实例访问 http://169.254.169.254 处的元数据服务。

元数据包括公共 SSH 密钥(当用户请求一个新的实例时,由密钥/对标识),用户数据(作为 API 调用中的 user_data 参数进行传递,或是由 Nova 启动命令中的 --user_data 标记传递)。二进制的 nova-api 命令实现元数据服务。

OpenStack 是一套复杂组件集。要了解有关此系统的更多信息以及其他组件如何工作,可参考 参考资料 部分中给出的大量 OpenStack 资源。

在开始探讨 Nova 内的规则和链之前,让我们先来看看 IP 寻址的模式。

时间: 2024-12-23 04:40:15

阐述OpenStack用iptables、链和规则处理联网的相关文章

工业4.0重塑制造生态链 游戏规则即将改变

现如今工业4.0.物联网.云计算.人工智能等各种概念满天飞.在市场变动迅速.订制化需求高涨.竞争界限模糊的今天,传统工业思维已现左支右绌窘态;转型智能工厂,说直白些,只是为了避免被拦路抢单或增加争取商机的筹码罢了,并以最小成本创造最大效益.工业 4.0,不仅重塑了制造端的生态系统,更彻底改写了市场交易的游戏规则! 工业4.0重塑制造生态链 游戏规则即将改变 工业4.0实际上是德国等先进制造业发达国家在进行一次大的制造业升级,以期保持其在国际竞争中的地位.因此,工业4.0概念提出之后,各国纷纷跟进

如何编写IPtables的基础规则

上一篇博文说明了iptable的一些常识 这里简明再复述一下 linux的防火墙包含了2部分,分别是存在于内核空间的netfilte和用户空间的iptables 而iptable可以定义4类规则 filter:防火墙核心所在 nat:地址转换 mangle:实现数据包修改:如TTL raw:不常用,这里不做多解释 优先级次序:raw-mangle-nat-filter 在iptable中定义的规则要输送到内核中的netfilte才能生效   定义防火墙规则一般有2种模式.一种是比较严格的,只放行

百度抓取纯文本链接 Lee说SEO外链建设规则

由于用户不能通过直接点击方式进入纯文本url地址所指向的页面,无法直接实现反向链接定义中"指向目标文档(网页)"的反向链接作用,所以一直以来SEOER们对纯文本url地址的SEO作用普遍不看好. 但无可否认的是,这样大量的纯文本url地址有效增加了特定网页的曝光率,也肯定有用户通过复制粘贴方式进入特定网页--只要我们的内容对他有帮助.从这个意义上来说,纯文本url地址也的确间接实现了"指向目标文档(网页)"的反向链接作用. 百度与其他搜索引擎能够准确识别纯文本url

OpenStack 网络:开始使用 iptables、表、规则和链

本文阐述了 OpenStack 用 iptables.链和规则处理联网的,这跟其他系统非常类似.但是首先,让 我们先来看看 iptables 的结构,作为本文内使用技术的前奏. iptable 的结构 iptable 是一个用户空间应用程序,允许系统管理员配置由 Linux 内核防火墙提供的表:iptable 专指 IPv4 网 络. 要设置一个 Linux 防火墙,就要使用规则,每个规则指定在包中与什么匹配,以及对包执 行什么操作.链 是一个规则列表. Iptable 的前身 ipchains

iptables建立规则和链的基本方法

  通过向防火墙提供有关对来自某个源.到某个目的地或具有特定协议类型的信息包要做些什么的指令,规则控制信息包的过滤.通过使用 netfilter/iptables 系统提供的特殊命令 iptables,建立这些规则,并将其添加到内核空间的特定信息包过滤表内的链中.关于添加/除去/编辑规则的命令的一般语法如下: 代码如下: $ iptables [-t table] command [match] [target] 表(table) [-t table] 选项允许使用标准表之外的任何表.表是包含仅

linux防火墙基础知识以及如何管理设置iptables规则

一.linux防火墙基础 防火墙分为硬件防火墙和软件防火墙. 1.概述 linux 防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙. 包过滤机制:netfilter 管理防火墙规则命令工具:iptables netfilter 指linux内核中实现包过滤防火墙的内部结构,不依程序或文件的形式存在,属于"内核态"的防火墙功能体系 iptables 指管理linux防火墙的命令工具,属于"用户态"的防火墙管理体系 2.ipta

linux系统防火墙iptables命令规则及配置

防火墙概述: 在互联网上我们的主机随时都有被攻击的可能,因此我们需要用到防火墙机制来保护我们互联网上的主机,在我们主机上面,防火墙主要是通过一些规则来限制一些不安全因素的网络信息传输,准确的说,防火墙就是制定一些有顺序的规则,来管理所负责的范围内的主机数据封包的一种机制,通过防火墙我们能够分析和过滤进出主机或者网络的封包数据,从而将一些不安全因素的包隔离开. iptables与netfilter: Linux上的防火墙是由iptables/netfilter组成,iptables是基于netfi

iptables规则配置 增加、删除和修改命令

介绍 iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统.如果 Linux 系统连接到因特网或 LAN.服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置. Iptables命令的管理控制选项 -A(append) 在指定链的末尾添加一条新的规则 -I (insert)在指定链中插入一条新规则,为指明插入位置 -D(delete)删除制定链里的某条规则 -R (replace)修改.替换

构建高安全电子商务网站:Linux服务器iptables规则列表全攻略

服务器的安全性,一直是网站的首要考虑的任务.针对安全性有多种多样的解决方案.Linux服务器防火墙,最常用到的当然要数iptables防火墙.iptables是Linux上常用的防火墙软件,规则也非常灵活,应该最广泛. 对应要构建高安全电子商务网站,任何一台服务器少不了的安全软件,当然是iptables防火墙.规则灵活多变,功能应该之广泛,这个也是Linux系统管理员首选.iptables表链中每条规则的顺序很重要,如果首条是accept all,那末所有的数据包都会被允许通过firewall,