2.3. 从 overcloud 防火墙中删除服务

流程

1. 在 Controller 节点上，查找 rabbitmq 的默认 iptables 规则数量：

   [tripleo-admin@overcloud-controller-2 ~]$ sudo iptables -L | grep rabbitmq
   ACCEPT     tcp  --  anywhere             anywhere             multiport dports vtr-emulator,epmd,amqp,25672,25673:25683 state NEW /* 109 rabbitmq-bundle ipv4 */

   Copy to Clipboard Toggle word wrap

2. 在环境文件 uder parameter_defaults 中，使用 ExtraFirewallRules 参数将 rabbitmq 限制到 InternalApi 网络。该规则的编号低于默认的 rabbitmq 规则编号或 109 ：

   cat > ~/templates/firewall.yaml <<EOF
   parameter_defaults:
     ExtraFirewallRules:
       '098 allow rabbit from internalapi network':
         dport:
         - 4369
         - 5672
         - 25672
         proto: tcp
         source: 10.0.0.0/24
       '099 drop other rabbit access':
         dport:
         - 4369
         - 5672
         - 25672
         proto: tcp
         action: drop
   EOF

   Copy to Clipboard Toggle word wrap
   注意

   如果没有设置 action 参数，则结果将 接受。您只能将 action 参数设置为 drop,insert, 或 append。

3. 在 openstack overcloud deloy 命令中包含 ~/templates/firewall.yaml 文件。包括部署所需的所有模板：

   openstack overcloud deploy --templates /
   ...
   -e /home/stack/templates/firewall.yaml /
   ....

   Copy to Clipboard Toggle word wrap