openstack中nova使用了iptables实现其网络相关功能,乍看openstack的iptables表比较复杂,整理了一下iptables的filter表和nat表的结构,以一个all in one的openstack的iptables表为例,展示了iptables的filter表和nat表在openstack中的使用。

Filter表

INPUT链结构:

实例:

INPUT链:

nova-network-INPUT链:

开放了67和53端口(DHCP 和 DNS端口)。

nova-compute-INPUT链:

开放了67和68端口(Bootps端口和Bootpc端口)

nova-api-INPUT链:

开放了nova-metadata的8775端口。

FORWARD链结构:

实例:

FORWARD链:

在系统默认的链中添加了4条自定义链。

nova-filter-top链:

nova-network-local链:

nova-compute-local链:

转到各个instance的nova-compute-inst-XXX链。

nova-compute-inst-XXX链:

每个instance的访问控制规则链,由secgroup定义。

nova-compute-provider链:

nova-compute-sg-fallback链:

上述规则都不满足则丢弃。

nova-api-local链:

nova-network-FORWARD链:

实现网关作用。

nova-compute-FORWARD链:

开放了67和68端口(Bootps端口和Bootpc端口)

nova-api-FORWARD链:

OUTPUT链结构:

实例:

OUTPUT链:

添加了4条自定义链。

nova-filter-top链同上。

nova-network-OUTPUT链:

nova-compute-OUTPUT链:

nova-api-OUTPUT链:

NAT表

PREROUTING链结构:

实例:

PREROUTING链:

nova-network-PREROUTING链:

metadate和floating ip的DNAT规则。

nova-compute-PREROUTING链:

nova-api-PREROUTING链:

POSTROUTING链结构:

实例:

POSTROUTING链:

nova-network-POSTROUTING链:

nova-compute-POSTROUTING链:

nova-api-POSTROUTING链:

nova-postrouting-bottom链:

nova-network-snat链:

从public_interface出去的包进行SNAT,10.224.148.69是public_interface的ip。

nova-network-float-snat链:

floating ip的SNAT规则。

nova-compute-snat链:

nova-compute-float-snat链:

nova-api-snat链:

nova-api-float-snat链:

OUTPUT链结构:

实例:

OUTPUT链:

nova-network-OUTPUT链:

floating ip的DNAT规则。

nova-compute-OUTPUT链:

nova-api-OUTPUT链:

Refer:

http://www.ibm.com/developerworks/cloud/library/cl-openstack-network/index.html

openstack中iptables的使用的更多相关文章

  1. 在OpenStack中绕过或停用security group (iptables)

    眼下.OpenStack中默认採用了security group的方式.用系统的iptables来过滤进入vm的流量.这个本意是为了安全,可是往往给调试和开发带来一些困扰. 因此,暂时性的禁用它能够排 ...

  2. openstack中安装包与组件

    keystone openstack-keystone:验证服务,openstack 中的所有组件的验证以及用户验证,权限,目录等服务. python-openstackclient:命令行,安装以后 ...

  3. DPDK在OpenStack中的实现

    随着云计算与大数据的快速发展,其对数据中心网络的性能和管理提出了更高的要求,但传统云计算架构存在多个I/O瓶颈,由于云平台基本上是采用传统的X86服务器加上虚拟化方式组建,随着40G.100G高速网卡 ...

  4. 在CentOS7下的OpenStack中配置使用Spice协议

    在CentOS7下的OpenStack中配置使用Spice协议 by 无若   1. 需要的包 在计算节点上 #yum install spice-html5   注意:使用yum安装spice-ht ...

  5. OpenStack中Keystone的基本概念理解

    原文http://www.kankanews.com/ICkengine/archives/10788.shtml Keystone简介 Keystone(OpenStack Identity Ser ...

  6. openstack中eventlet使用

    openstack中使用eventlet的协程来实现并发. 第一种,使用eventlet.GreenPool来管理绿色线程 如l3-agent在开启了8个绿色线程来处理router消息 def _pr ...

  7. Production环境中iptables常用参数配置

    production环境中iptables常用参数配置 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 我相信在实际生产环境中有很多运维的兄弟跟我一样,很少用到iptables的这个 ...

  8. 探索 OpenStack 之(14):OpenStack 中 RabbitMQ 的使用

    本文是 OpenStack 中的 RabbitMQ 使用研究 两部分中的第一部分,将介绍 RabbitMQ 的基本概念,即 RabbitMQ 是什么.第二部分将介绍其在 OpenStack 中的使用. ...

  9. openstack中彻底删除计算节点的操作记录

    在使用openstack的过程中,我们经常会添加好几台计算节点来部署虚拟机,在后续使用中由于某些原因,一些计算节点出现了问题,需要将这些出了问题的计算节点从openstack的控制节点中踢出去!但是很 ...

随机推荐

  1. 不要伤害指针(5)--void和void指针详解

    原文转载地址:http://blog.csdn.net/sunchaoenter/article/details/6587426 增加自己的想法,作为笔记. 1.概述 许多初学者对C/C++语言中的v ...

  2. 判断浏览器及设备的打开方式,自动跳转app中

    如果安装了APP则自动条状app,如果没安装则自动跳转下载页面 <head> 放在head中加载 <script> function redirect() { var appU ...

  3. Android viewpager 嵌套 viewpager滑动 点击事件冲突解决方案

    为了解决这个问题.可以自定义viewpager,然后在里面监听首饰,自定义点击事件 package com.hpuvoice.view; import android.content.Context; ...

  4. Windows2008RT搭建VPN服务器

    总结一下2008系统搭建VPN的步骤和过程,自己有个人网站和服务要通过互联网发布出来.服务器放在自己家里,宽带是民用的.也就产生了服务发布的一些问题.用无法映射出真实的公网IP,或是一些其他内部的问题 ...

  5. 请求(Request)的参数(Parameter)里包含特殊字符(#等)的正确处理方式

    遇到一个问题 在一个地址链接(URL)里使用 url?param1=val1&param2=val2 的方式传递参数,结果在获取参数值时发现不是当初设定的值. 具体案例 以特殊字符井号(#)为 ...

  6. 解决Oracle 11gR2 空闲连接过多,导致连接数满的问题

    今天又遇到了11gR2连接数满的问题,以前也遇到过,因为应用那边没有深入检查,没有找到具体原因,暂且认为是这个版本Oracle的BUG吧. 上次的处理办法是用Shell脚本定时在系统中kill  v$ ...

  7. Cortex-M3学习日志(一)-- GPIO实验

    因为项目所需,所以不得不开始研究M3,我用的是NXP公司的LPC1768这个芯片,它是具有三级流水线的哈佛结构,带独立的本地指令和数据总线以及用于外设的稍微低性能的第三条总线,还包含一个支持随机跳转的 ...

  8. 使用QueueUserWorkerItem实现的线程池封装

    此线程池所依赖的线程类,请参看<一个Windows C++的线程类实现>: http://blog.csdn.net/huyiyang2010/archive/2010/08/10/580 ...

  9. MFC 可以设置背景色、字体、字体颜色、透明背景的 Static 静态文本控件

    MFC库里没有符合这个条件的控件,于是我自己写了一个,初步测试有效. 注:可以设置透明背景,但还不能做到透明度设置(如50%透明度) 如果设置了背景色,就不保留透明背景 默认背景色是透明的 [cpp] ...

  10. poj2365---求多边形边长总和

    #include <stdio.h> #include <stdlib.h> #include<math.h> #define pi acos(-1) struct ...