OpenStack 关闭安全组

Posted 2020-10-12 北丐洪七公 -- Jeff

OpenStack Neutron的安全组默认会对每个网口开启MAC/IP过滤功能（防arp欺骗），不是该网口的MAC/IP发出的包会被宿主机丢弃。这种限制会导致vNF的上行网口转发的数据包被丢弃，无法到达vRouter。关闭安全组有两种方法

第一种是整体关闭

# /etc/neutron/plugins/ml2/openvswitch_agent.ini
firewall_driver=None

整体关闭的弊端是所有的端口不在受安全组保护，私有云尚且可以，公有云会带来安全隐患

局部关闭

OpenStack Neutron的MAC/IP过滤是利用宿主机的iptables实现的，因此可以通过修改iptables配置来达到局部关闭的效果，具体步骤如下：

为每个租户创建完毕vNF后，从后台进入宿主机，找到对应网口的tap设备，记下tap后面的id，例如sc5695d00-9。

iptables --line-numbers -nvL | grep ${id}

查看对应的条目

利用iptables -D ...删除掉对应条目

另一种比较优雅的局部关闭方法是使用OpenStack Cli，可以关闭指定的port的安全组:

opnestack port set --no-security-group <port>

openstack port set --disable-port-security <port>

也可以为port添加允许通过的MAC/IP

openstack port set --allowed-address ip=address=<ip-address>, mac-address=<mac-address> <port>