openstack中iptables的使用
openstack中nova使用了iptables实现其网络相关功能,乍看openstack的iptables表比较复杂,整理了一下iptables的filter表和nat表的结构,以一个all in one的openstack的iptables表为例,展示了iptables的filter表和nat表在openstack中的使用。
Filter表
INPUT链结构:
实例:
INPUT链:
nova-network-INPUT链:
开放了67和53端口(DHCP 和 DNS端口)。
nova-compute-INPUT链:
开放了67和68端口(Bootps端口和Bootpc端口)
nova-api-INPUT链:
开放了nova-metadata的8775端口。
FORWARD链结构:
实例:
FORWARD链:
在系统默认的链中添加了4条自定义链。
nova-filter-top链:
nova-network-local链:
nova-compute-local链:
转到各个instance的nova-compute-inst-XXX链。
nova-compute-inst-XXX链:
每个instance的访问控制规则链,由secgroup定义。
nova-compute-provider链:
nova-compute-sg-fallback链:
上述规则都不满足则丢弃。
nova-api-local链:
nova-network-FORWARD链:
实现网关作用。
nova-compute-FORWARD链:
开放了67和68端口(Bootps端口和Bootpc端口)
nova-api-FORWARD链:
OUTPUT链结构:
实例:
OUTPUT链:
添加了4条自定义链。
nova-filter-top链同上。
nova-network-OUTPUT链:
nova-compute-OUTPUT链:
nova-api-OUTPUT链:
NAT表
PREROUTING链结构:
实例:
PREROUTING链:
nova-network-PREROUTING链:
metadate和floating ip的DNAT规则。
nova-compute-PREROUTING链:
nova-api-PREROUTING链:
POSTROUTING链结构:
实例:
POSTROUTING链:
nova-network-POSTROUTING链:
nova-compute-POSTROUTING链:
nova-api-POSTROUTING链:
nova-postrouting-bottom链:
nova-network-snat链:
从public_interface出去的包进行SNAT,10.224.148.69是public_interface的ip。
nova-network-float-snat链:
floating ip的SNAT规则。
nova-compute-snat链:
nova-compute-float-snat链:
nova-api-snat链:
nova-api-float-snat链:
OUTPUT链结构:
实例:
OUTPUT链:
nova-network-OUTPUT链:
floating ip的DNAT规则。
nova-compute-OUTPUT链:
nova-api-OUTPUT链:
Refer:
http://www.ibm.com/developerworks/cloud/library/cl-openstack-network/index.html
openstack中iptables的使用的更多相关文章
- 在OpenStack中绕过或停用security group (iptables)
眼下.OpenStack中默认採用了security group的方式.用系统的iptables来过滤进入vm的流量.这个本意是为了安全,可是往往给调试和开发带来一些困扰. 因此,暂时性的禁用它能够排 ...
- openstack中安装包与组件
keystone openstack-keystone:验证服务,openstack 中的所有组件的验证以及用户验证,权限,目录等服务. python-openstackclient:命令行,安装以后 ...
- DPDK在OpenStack中的实现
随着云计算与大数据的快速发展,其对数据中心网络的性能和管理提出了更高的要求,但传统云计算架构存在多个I/O瓶颈,由于云平台基本上是采用传统的X86服务器加上虚拟化方式组建,随着40G.100G高速网卡 ...
- 在CentOS7下的OpenStack中配置使用Spice协议
在CentOS7下的OpenStack中配置使用Spice协议 by 无若 1. 需要的包 在计算节点上 #yum install spice-html5 注意:使用yum安装spice-ht ...
- OpenStack中Keystone的基本概念理解
原文http://www.kankanews.com/ICkengine/archives/10788.shtml Keystone简介 Keystone(OpenStack Identity Ser ...
- openstack中eventlet使用
openstack中使用eventlet的协程来实现并发. 第一种,使用eventlet.GreenPool来管理绿色线程 如l3-agent在开启了8个绿色线程来处理router消息 def _pr ...
- Production环境中iptables常用参数配置
production环境中iptables常用参数配置 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 我相信在实际生产环境中有很多运维的兄弟跟我一样,很少用到iptables的这个 ...
- 探索 OpenStack 之(14):OpenStack 中 RabbitMQ 的使用
本文是 OpenStack 中的 RabbitMQ 使用研究 两部分中的第一部分,将介绍 RabbitMQ 的基本概念,即 RabbitMQ 是什么.第二部分将介绍其在 OpenStack 中的使用. ...
- openstack中彻底删除计算节点的操作记录
在使用openstack的过程中,我们经常会添加好几台计算节点来部署虚拟机,在后续使用中由于某些原因,一些计算节点出现了问题,需要将这些出了问题的计算节点从openstack的控制节点中踢出去!但是很 ...
随机推荐
- Linux学习之常用技巧
▌基础 学习 Bash .你可以man bash来看看bash的东西,并不复杂也并不长.你用别的shell也行,但是bash是很强大的并且也是系统默认的.(学习zsh或tsch只会让你在很多情况下受到 ...
- eclipse 快捷键汇总
1几个最重要的快捷键 代码助手:Ctrl+Space(简体中文操作系统是Alt+/)快速修正:Ctrl+1单词补全:Alt+/打开外部Java文档:Shift+F2 显示搜索对话框:Ctrl+H快速O ...
- hdu 5730 Shell Necklace fft+cdq分治
题目链接 dp[n] = sigma(a[i]*dp[n-i]), 给出a1.....an, 求dp[n]. n为1e5. 这个式子的形式显然是一个卷积, 所以可以用fft来优化一下, 但是这样也是会 ...
- OpenCV学习 7:图像形态学:腐蚀、膨胀
原创文章,欢迎转载,转载请注明出处 首先什么是图像形态学?额,这个抄下百度到的答案.基本思想: 用具有一定形态的结构元素去度量和提取图像中的对应形状已达到对图像分析和识别的目的,形态学图像处理表 ...
- Android 屏幕适配方式
适配:即当前应用在相同的手机上面显示相同的效果.适配前需要首先确定当前手机所属像素密度类型(如:xhdpi.hdpi.mdpi等) 像素密度:每英寸上分布的像素点个数,单位(dpi,ppi),利用勾股 ...
- POJ 2400 最小权匹配
吐槽:首先,这道题的输入居然是错的.要将上下两个矩阵的位置换一下才可以出样例,也就是上面那个矩阵是employee对Supervisor的打分,下面那个矩阵才是Supervisor对employee的 ...
- [置顶] C# WINCE调节屏幕亮度
在wince里面保存屏幕亮度的值保存在注册表HKEY_CURRENT_USER\ControlPanel\\Backlight\Brightness里面,值的范围是0-100,所以要改变屏幕的亮度,只 ...
- MySQL 5.7.10 免安装配置
# 配置环境:windows 64bit # 安装版本:mysql-5.7.10-win32(zip archive版本) 1. ZIP Archive版是免安装的,只需把mysql-5.7.10-w ...
- City Game(动态规划)
City Game Time Limit: 2000/1000 MS (Java/Others) Memory Limit: 65536/32768 K (Java/Others) Total ...
- arduino循迹小车
int MotorRight1=14; int MotorRight2=15; int MotorLeft1=16; int MotorLeft2=17; int MotorRPWM=3; int M ...