2.2. オーバークラウドファイアウォールへのサービスの追加
Red Hat OpenStack Platform をデプロイすると、各コアサービスがデフォルトのファイアウォールルールセットとともに各オーバークラウドノードにデプロイされます。ExtraFirewallRules
パラメーターを使用して、追加サービスのポートを開くルールを作成したり、サービスを制限するルールを作成したりできます。
各ルール名はそれぞれの iptables
ルールのコメントになります。各ルール名は、3 桁の接頭辞で始まる点に注意してください。この接頭辞は、Puppet が最終の iptables
ファイルに記載されているルールを順序付けるのに役立ちます。デフォルトの Red Hat OpenStack Platform ルールでは、000 から 200 までの範囲の接頭辞を使用します。新しいサービスのルールを作成するときは、名前の前に 200 より大きい 3 桁の数字を付けます。
手順
文字列を使用して、
ExtraFireWallRules
パラメーターの下に各ルール名を定義します。ルール名の下に次のパラメーターを使用して、ルールを定義できます。- dport:: ルールに関連付けられた宛先ポート。
-
proto:: ルールに関連付けられたプロトコル。デフォルトは
tcp
です。 -
action:: ルールに関連付けられたアクションポリシー。デフォルトは
accept
です。 source:: ルールに関連付けられた送信元の IP アドレス
次の例は、規則を使用して、カスタムアプリケーション用に追加のポートを開く方法を示しています。
cat > ~/templates/firewall.yaml <<EOF parameter_defaults: ExtraFirewallRules: '300 allow custom application 1': dport: 999 proto: udp '301 allow custom application 2': dport: 8081 proto: tcp EOF
注記action
パラメーターを設定しない場合、結果はaccept
になります。action
パラメーターは、drop
、insert
、またはappend
のみに設定できます。
~/templates/firewall.yaml
ファイルをopenstack overcloud deloy
コマンドに含めます。デプロイメントに必要なすべてのテンプレートを含めます。openstack overcloud deploy --templates / ... -e /home/stack/templates/firewall.yaml / ....