13.12. 방화벽 규칙 관리
방화벽 규칙은 배포 중에 오버클라우드 노드에 자동으로 적용되며, OpenStack 작동에 필요한 포트만 노출하기 위한 것입니다. 필요에 따라 추가 방화벽 규칙을 지정할 수 있습니다. 예를 들어 Zabbix 모니터링 시스템에 대한 규칙을 추가하려면 다음을 수행합니다.
parameter_defaults: ControllerExtraConfig: ExtraFirewallRules: '301 allow zabbix': dport: 10050 proto: tcp source: 10.0.0.8
action
매개변수를 설정하지 않으면 결과가 허용됩니다 .
삭제
,삽입
또는 추가
하도록 action
매개변수만 설정할 수 있습니다.
액세스를 제한하는 규칙을 추가할 수도 있습니다. 규칙 정의 중에 사용되는 숫자는 규칙의 우선 순위를 결정합니다. 예를 들어 RabbitMQ의 규칙 번호는 기본적으로 109
입니다. If you want to restrain it, you switch it to use a lower value:
parameter_defaults: ControllerParameters ExtraFirewallRules: '098 allow rabbit from internalapi network': dport: [4369,5672,25672] proto: tcp source: 10.0.0.0/24 '099 drop other rabbit access: dport: [4369,5672,25672] proto: tcp action: drop
이 예에서 098
및 099
는 RabbitMQ의 규칙 번호 109
보다 낮은 임의로 선택됩니다. 규칙 번호를 확인하려면 적절한 노드에서 iptables 규칙을 검사할 수 있습니다. RabbitMQ의 경우 컨트롤러를 확인합니다.
iptables-save [...] -A INPUT -p tcp -m multiport --dports 4369,5672,25672 -m comment --comment "109 rabbitmq" -m state --state NEW -j ACCEPT
또는 puppet 정의에서 포트 요구 사항을 추출할 수 있습니다. 예를 들어 RabbitMQ의 규칙은 puppet/services/rabbitmq.yaml
에 저장됩니다.
ExtraFirewallRules: '109 rabbitmq': dport: - 4369 - 5672 - 25672
규칙에 대해 다음 매개변수를 설정할 수 있습니다.
-
dport
: 규칙에 연결된 대상 포트입니다. -
활동
활동 : 규칙과 관련된 소스 포트입니다. -
Proto
: 규칙과 연결된 프로토콜입니다. 기본값은 tcp입니다. -
action
: 규칙과 연결된 작업 정책입니다. 기본값은 Cryo stat이며 점프를 ACCEPTS 로 설정합니다. -
State
: 규칙과 관련된 상태의 배열입니다. 기본값 [새로설정] -
Source
: 규칙과 연결된 소스 IP 주소입니다. -
interface
: 규칙과 연결된 네트워크 인터페이스입니다. -
chain
: 규칙과 연결된 체인입니다. 기본값은 INPUT -
destination
: 규칙과 연결된 대상 cidr입니다.