10.4. 보안 그룹에 대한 방화벽 구성
데이터 플레인 인터페이스에는 상태 저장 방화벽의 고성능이 필요합니다. 이러한 인터페이스를 보호하려면 RHOSP(Red Hat OpenStack Platform) OVS-DPDK 환경에서 telco-grade 방화벽을 VNF(가상 네트워크 기능)로 배포하는 것이 좋습니다.
ML2/OVS 배포에서 컨트롤 플레인 인터페이스를 구성하려면 parameter_defaults
아래의 사용자 지정 환경 파일에서 NeutronOVSFirewallDriver
매개변수를 openvswitch
로 설정합니다. OVN 배포에서 ACL(액세스 제어 목록)을 사용하여 보안 그룹을 구현할 수 있습니다.
흐름의 연결 추적 속성이 오프로드 경로에서 지원되지 않으므로 하드웨어 오프로드에는 OVS 방화벽 드라이버를 사용할 수 없습니다.
사전 요구 사항
-
언더클라우드 호스트 및
stack
사용자의 인증 정보에 액세스합니다.
프로세스
-
stack
사용자로 언더클라우드에 로그인합니다. stackrc
파일을 소싱합니다.$ source ~/stackrc
- 10.3절. “OVS-DPDK 사용자 지정 환경 파일 생성” 에서 생성한 사용자 정의 환경 YAML 파일을 열거나 새 파일을 생성합니다.
parameter_defaults
에서 다음 키-값 쌍을 추가합니다.parameter_defaults: ... NeutronOVSFirewallDriver: openvswitch
- 새 사용자 지정 환경 파일을 생성한 경우 해당 경로와 파일 이름을 기록해 둡니다. 오버클라우드를 배포할 때 나중에 이 파일을 사용합니다.
오버클라우드를 배포한 후
openstack port set
명령을 실행하여 데이터 플레인 인터페이스에 대한 OVS 방화벽 드라이버를 비활성화합니다.$ openstack port set --no-security-group --disable-port-security ${PORT}
다음 단계
- 10.5절. “베어 메탈 노드 정의 파일 생성” 으로 이동합니다.
추가 리소스
- director를 사용하여 Red Hat OpenStack Platform 설치 및 관리의 구성 가능 서비스 및 사용자 지정 역할
- NFV에 대해 테스트된 NIC