2.3. 오버클라우드 방화벽에서 서비스 삭제
규칙을 사용하여 서비스를 제한할 수 있습니다. 규칙 이름에 사용하는 번호에 따라 iptables
에서 규칙이 삽입되는 위치가 결정됩니다. 다음 절차에서는 rabbitmq
서비스를 InternalAPI 네트워크로 제한하는 방법을 보여줍니다.
프로세스
컨트롤러 노드에서
rabbitmq
의 기본iptables
규칙 수를 찾습니다.[tripleo-admin@overcloud-controller-2 ~]$ sudo iptables -L | grep rabbitmq ACCEPT tcp -- anywhere anywhere multiport dports vtr-emulator,epmd,amqp,25672,25673:25683 state NEW /* 109 rabbitmq-bundle ipv4 */
환경 파일 uder
parameter_defaults
에서ExtraFirewallRules
매개변수를 사용하여rabbitmq
를 InternalApi 네트워크로 제한합니다. 이 규칙에는 기본rabbitmq
규칙 번호 또는 109보다 낮은 수가 제공됩니다.cat > ~/templates/firewall.yaml <<EOF parameter_defaults: ExtraFirewallRules: '098 allow rabbit from internalapi network': dport: - 4369 - 5672 - 25672 proto: tcp source: 10.0.0.0/24 '099 drop other rabbit access': dport: - 4369 - 5672 - 25672 proto: tcp action: drop EOF
참고action
매개변수를 설정하지 않으면 결과가 허용됩니다.
삭제
,삽입
또는추가
하도록action
매개변수만 설정할 수 있습니다.openstack overcloud deloy
명령에~/templates/firewall.yaml
파일을 포함합니다. 배포에 필요한 모든 템플릿을 포함합니다.openstack overcloud deploy --templates / ... -e /home/stack/templates/firewall.yaml / ....