OVN系列8 -- ACL & 安全组

Posted 2023-04-11

参考技术A 同大部分使用OVS实现安全组功能的方案一样，OVN通过流表实现进出VM流量的有状态的ACL控制。状态还是通过linux conntrack维护，OVS 2.5版本起开始支持conntrack，在此之间需要通过Linux Bridge来使用ct，不可避免的对性能照成一定的影响。
OVS并为独立实现ct，实际上还是Linux内核的ct模块，我们通过conntrack命令可以看到他们是一个东西。我们知道在实现NAT、有状态防火墙这些功能的时候ct是一个重要的内核功能，能够一定程度上提高性能（降低 CPU 和延迟），这是因为只有第一个数据包需要完成整个网络栈的处理，参见 Comparing kube-proxy modes 一文，其中包含了这方面的例子。
但是如果需要同时处理非常大数量的活动连接，或者每秒处理极大数量的连接，ct就会成为瓶颈，ct表项的操作需要加自旋锁，应对这些情况对资源和性能消耗都会很大。如下，每秒处理大数量的连接时，内核在ct上的性能消耗。

所有如果能够预期会出现这些情况的话，可以考虑一下无状态的防火墙，当然无状态的防火墙的使用限制还是挺大的。详细可以参考Calico Do-not-track 策略。

配置一个白名单 安全组，控制 vpc-400中 vm2 的入向规则。
踩坑:

附ct状态：

安全组与网络ACL

通过配置网络ACL和安全组策略，保障VPC内的弹性云服务器安全使用。

安全组对弹性云服务器进行防护：设置不同安全组访问规则实现系统访问控制
网络ACL对子网进行防护：可实现网络区域访问控制