10.10. 强化网络服务

OpenStack 网络为用户提供网络资源的自助服务配置。务必要确保云架构师和操作员评估其设计用例，为用户提供创建、更新和销毁可用网络资源的能力。

OpenStack Networking 中的策略引擎及其配置文件(policy.json)提供了一种方法，可在项目网络方法和对象上为用户提供更精细的授权。OpenStack N etworking 策略定义会影响网络可用性、网络安全性和整个 OpenStack 安全性。云架构师和操作员应仔细评估他们对管理网络资源的用户和项目访问权限的策略。

如果您的 OpenStack 部署提供了多个外部访问点到不同的安全区，则您必须限制项目将多个 vNIC 附加到多个外部访问机制的能力，这可能会桥接这些安全区，并可能导致无法预见的安全威胁。您可以使用计算提供的主机聚合功能，或将第 1 个项目实例拆分为具有不同虚拟网络配置的多个项目中，以帮助缓解这一风险。如需有关主机聚合的更多信息，请参阅 创建和管理主机聚合。

安全组是安全组规则的集合。安全组及其规则允许管理员和项目指定允许通过虚拟接口端口的流量类型和方向（入口/出口）类型。在 OpenStack 网络中创建虚拟接口端口时，它将与安全组关联。规则可以添加到默认安全组中，以便根据每个部署更改行为。

使用 Compute API 修改安全组时，更新的安全组将应用到实例上的所有虚拟接口端口。这是因为计算安全组 API 基于实例而不是基于端口，如 neutron 中找到的。

OpenStack 网络具有内置功能，可帮助缓解对实例的 ARP 欺骗。除非对产生的风险给出了仔细考虑，否则不应该禁用此项。

在 /var/lib/config-data/puppet-generated/neutron/etc/neutron/neutron.conf 中检查 [keystone_authtoken] 部分下的 auth_uri 的值是否已设置为以 'https 开头的身份 API 端点：