玩转Openvwitch第一站:Manager和SSL

Posted popsuper1982

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了玩转Openvwitch第一站:Manager和SSL相关的知识,希望对你有一定的参考价值。

一、Manager

Manager的结构如下

Manager表配置的是ovsdb-server的。

ovsdb-server使用manager_options中的配置来监听端口,等待client来连接。

  • punix:file: 监听unix socket

  • ptcp:port[:ip]: 监听TCP连接

  • pssl:port[:ip]: 监听SSL连接

接下来我们做个实验:

对于下面这个虚拟交换机

执行如下的命令:

ovs-vsctl set-manager ptcp:8881

再来看这个虚拟交换机:

发现多了Manager的配置。

在另外一台机器上,连接这个db-server

二、SSL

SSL结构如下:

SSL的配置主要包含几个部分:

  • Private Key: 私钥

  • Certificate: 证书

  • CA Certificate: CA的证书

  • private key和public key对,其中public key放在certificate中,并且需要CA使用自己的private key进行签名,CA来担保这个certificate是合法的,为了验证这个CA签名,当然需要CA的public key,而CA的public key是放在ca cert里面的,当然也需要被签名,被更高级的CA担保,或者自己担保自己。

  • bootstrap_ca_cert是一个boolean,如果是true,则每次启动的时候,都会向controller去拿最新的ca cert。

默认表是空的

接下来我们生成private key, certificate, CA key, CA certificate

1. 生成一个CA的private key

openssl genrsa -out caprivate.key 1024

2. CA有一个certificate,里面放着CA的public key,要生成这个certificate,则需要写一个certificate request

openssl req -key caprivate.key -new -out cacertificate.req

3. 由于这里的CA是root CA,没有更高级的CA了,所以要进行自签发,用自己的private key对自己的certificate请求进行签发

openssl x509 -req -in cacertificate.req -signkey caprivate.key -out cacertificate.pem

4. 普通的机构需要有自己的private key

openssl genrsa -out cliu8private.key 1024

5. 也需要一个证书,里面放自己的public key,需要一个证书请求

openssl req -key cliu8private.key -new -out cliu8certificate.req

6. 要使得这个证书被认可,则需要一个CA对这个证书进行签名,我们用上面的CA的private key对他进行签名

openssl x509 -req -in cliu8certificate.req -CA cacertificate.pem -CAkey caprivate.key -out cliu8certificate.pem -CAcreateserial

设置manager

ovs-vsctl del-manager

ovs-vsctl set-manager pssl:8881

ovs-vsctl set-ssl /root/keys/openvswitch/cliu8private.key  /root/keys/openvswitch/cliu8certificate.pem   /root/keys/openvswitch/cacertificate.pem

查看数据库

在另一台机器上,如果不输入key和certificate,则无法连接

如果设置了key和certificate,则可以连接到那台db server

以上是关于玩转Openvwitch第一站:Manager和SSL的主要内容,如果未能解决你的问题,请参考以下文章

启动第一个 KVM 虚机 - 每天5分钟玩转 OpenStack

远程管理 KVM 虚机 - 每天5分钟玩转 OpenStack

在Centos7玩转Mysql半同步和keepalived+MHA

远程管理 KVM 虚机 - 每天5分钟玩转 OpenStack

一篇文章带你玩转Mac Finder

玩转redis第一步掌握基础知识