OVN系列8 -- ACL & 安全组

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了OVN系列8 -- ACL & 安全组相关的知识,希望对你有一定的参考价值。

参考技术A 同大部分使用OVS实现安全组功能的方案一样,OVN通过流表实现进出VM流量的有状态的ACL控制。状态还是通过linux conntrack维护,OVS 2.5版本起开始支持conntrack,在此之间需要通过Linux Bridge来使用ct,不可避免的对性能照成一定的影响。
OVS并为独立实现ct,实际上还是Linux内核的ct模块,我们通过conntrack命令可以看到他们是一个东西。我们知道在实现NAT、有状态防火墙这些功能的时候ct是一个重要的内核功能,能够一定程度上提高性能(降低 CPU 和延迟),这是因为只有第一个数据包需要完成整个网络栈的处理,参见 Comparing kube-proxy modes 一文,其中包含了这方面的例子。
但是如果需要同时处理非常大数量的活动连接,或者每秒处理极大数量的连接,ct就会成为瓶颈,ct表项的操作需要加自旋锁,应对这些情况对资源和性能消耗都会很大。如下,每秒处理大数量的连接时,内核在ct上的性能消耗。

所有如果能够预期会出现这些情况的话,可以考虑一下无状态的防火墙,当然无状态的防火墙的使用限制还是挺大的。详细可以参考Calico Do-not-track 策略。

配置一个白名单 安全组,控制 vpc-400中 vm2 的入向规则。
踩坑:

附ct状态:

安全组与网络ACL

通过配置网络ACL和安全组策略,保障VPC内的弹性云服务器安全使用。

安全组对弹性云服务器进行防护:设置不同安全组访问规则实现系统访问控制
网络ACL对子网进行防护:可实现网络区域访问控制
技术图片
技术图片

以上是关于OVN系列8 -- ACL & 安全组的主要内容,如果未能解决你的问题,请参考以下文章

AR系列路由器域间防火墙实施ACL

Redis 技术探索「安全实战系列」带你认识一下Redis的权限控制机制ACL(访问控制列表)是什么

无法与我的 EC2 实例建立 Internet 连接 [使用 terraform 部署,并为 ACL、安全组、Internet GW 打开了 80 个 http 端口]

何使用OVN ACL策略控制虚拟机之间的网络不通和互通

何使用OVN ACL策略控制虚拟机之间的网络不通和互通

OVN系列4 -- L2 & L3 Network