18.2. 管理 overcloud 防火墙

每个核心 OpenStack Platform 服务都包含其相应的可组合服务模板中的防火墙规则。这会自动为每个 overcloud 节点创建一组默认的防火墙规则。

overcloud heat 模板包含一组参数，它们可以帮助提供额外的防火墙管理：

ManageFirewall: 定义是否自动管理防火墙规则。将此参数设置为 true，以允许 Puppet 在每个节点上自动配置防火墙。如果要手动管理防火墙，设置为 false。默认值是 true。
PurgeFirewallRules: 定义是否在配置新 Linux 防火墙规则前清除默认的 Linux 防火墙规则。默认值为 false。

如果将 ManageFirewall 参数设置为 true，您可以在部署时创建额外的防火墙规则。使用 overcloud 的环境文件中的配置 hook 设置 tripleo::firewall::firewall_rules hieradata （请参阅第 4.5 节 “puppet：自定义角色的 hieradata”）。这个 hieradata 是一个哈希，其中包含防火墙规则名称及其对应参数作为键，它们都是可选的：

port: 与规则关联的端口。
dport: 与规则关联的目标端口。
sport: 与规则关联的源端口。
Proto: 与规则关联的协议。默认为 tcp。
action: 与规则关联的操作策略。默认为 接受。
jump: 要跳到的链。如果存在，它将覆盖 操作。
state: 与规则关联的状态数组。默认为 ['NEW']。
source: 与规则关联的源 IP 地址。
iniface: 与规则关联的网络接口。
链: 与规则关联的链。默认为 INPUT。
目的地: 与规则关联的目标 CIDR。

以下示例演示了防火墙规则格式的语法：

ExtraConfig:
  tripleo::firewall::firewall_rules:
    '300 allow custom application 1':
      port: 999
      proto: udp
      action: accept
    '301 allow custom application 2':
      port: 8081
      proto: tcp
      action: accept

ExtraConfig:
  tripleo::firewall::firewall_rules:
    '300 allow custom application 1':
      port: 999
      proto: udp
      action: accept
    '301 allow custom application 2':
      port: 8081
      proto: tcp
      action: accept

Copy to Clipboard

Toggle word wrap

这将通过 ExtraConfig 将两个额外的防火墙规则应用到所有节点。

注意

每个规则名称都会成为对应 iptables 规则的注释。每个规则名称都以三位前缀开头，以帮助 Puppet 遵循最终 iptables 文件中定义的所有规则。默认 Red Hat OpenStack Platform 规则使用 000 到 200 范围内的前缀。

返回顶部

18.2. 管理 overcloud 防火墙

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links