6.3. 管理防火墙规则

防火墙规则会部署期间自动应用于 overcloud 节点上，并且设计为仅公开获取 OpenStack 正常工作所需的端口。您可以根据需要指定其他防火墙规则。例如，要为 Zabbix 监控系统添加规则：

    parameter_defaults:
      ControllerExtraConfig:
        tripleo::firewall::firewall_rules:
          '301 allow zabbix':
            dport: 10050
            proto: tcp
            source: 10.0.0.8
            action: accept

    parameter_defaults:
      ControllerExtraConfig:
        tripleo::firewall::firewall_rules:
          '301 allow zabbix':
            dport: 10050
            proto: tcp
            source: 10.0.0.8
            action: accept

Copy to Clipboard

Toggle word wrap

您还可以添加限制访问的规则。规则定义中使用的数字将决定规则的优先级。例如，RabbitMQ 的规则编号默认为 109。如果要限制它，请将其切换以使用较低值：

    parameter_defaults:
      ControllerExtraConfig:
        tripleo::firewall::firewall_rules:
          '098 allow rabbit from internalapi network':
            dport: [4369,5672,25672]
            proto: tcp
            source: 10.0.0.0/24
            action: accept
          '099 drop other rabbit access':
            dport: [4369,5672,25672]
            proto: tcp
            action: drop

    parameter_defaults:
      ControllerExtraConfig:
        tripleo::firewall::firewall_rules:
          '098 allow rabbit from internalapi network':
            dport: [4369,5672,25672]
            proto: tcp
            source: 10.0.0.0/24
            action: accept
          '099 drop other rabbit access':
            dport: [4369,5672,25672]
            proto: tcp
            action: drop

Copy to Clipboard

Toggle word wrap

在这个示例中，098 和 099 是任意选择的数字，其小于 RabbitMQ 的规则编号 109。要确定规则的数量，您可以检查相应节点上的 iptables 规则；对于 RabbitMQ，您可以检查控制器：

iptables-save
[...]
-A INPUT -p tcp -m multiport --dports 4369,5672,25672 -m comment --comment "109 rabbitmq" -m state --state NEW -j ACCEPT

iptables-save
[...]
-A INPUT -p tcp -m multiport --dports 4369,5672,25672 -m comment --comment "109 rabbitmq" -m state --state NEW -j ACCEPT

Copy to Clipboard

Toggle word wrap

或者，您还可以从 puppet 定义中提取端口要求。例如，RabbitMQ 的规则存储在 puppet/services/rabbitmq.yaml 中：

    tripleo.rabbitmq.firewall_rules:
      '109 rabbitmq':
        dport:
          - 4369
          - 5672
          - 25672

    tripleo.rabbitmq.firewall_rules:
      '109 rabbitmq':
        dport:
          - 4369
          - 5672
          - 25672

Copy to Clipboard

Toggle word wrap

可以为规则设置以下参数：

端口 ：与该规则关联的端口。puppetlabs-firewall 弃用。
dport ：与该规则关联的目的地端口。
S PORT：与该规则关联的源端口。
探测 ：与规则关联的协议。默认为 tcp
操作 ：与该规则关联的操作策略。默认为 accept
跳过 ：要跳转到的链。
State ：与该规则关联的状态阵列。默认为 [NEW]
Source ：与该规则关联的源 IP 地址。
在iface 中 ：与规则关联的网络接口。
链链 ：与该规则关联的链。默认为 INPUT
目的地 ：与该规则关联的目的地 cidr。
Extras ： puppetlabs-firewall 模块支持的任何其他参数的哈希。

返回顶部

6.3. 管理防火墙规则

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links