2.2. 将服务添加到 overcloud 防火墙
部署 Red Hat OpenStack Platform 时,每个核心服务都会在每个 overcloud 节点上使用一组默认的防火墙规则进行部署。您可以使用 ExtraFirewallRules
参数为其他服务创建规则来打开端口,或者创建规则来限制服务。
每个规则名称成为对应 iptables
规则的注释。每个规则名称都以三位前缀开头,以帮助 Puppet 订购最终 iptables
文件中的规则。默认的 Red Hat OpenStack Platform 规则使用 000 到 200 范围中的前缀。为新服务创建规则时,请为名称添加前缀,其三位数字高于 200。
流程
使用字符串在
ExtraFireWallRules
参数下定义每个规则名称。您可以在规则名称下使用以下参数来定义规则:- dport:: 与规则关联的目的地端口。
-
proto:: 与规则关联的协议。默认为
tcp
。 -
action:: 与规则关联的操作策略。默认为
接受
。 source:: 与规则关联的源 IP 地址。
以下示例演示了如何使用规则为自定义应用程序打开附加端口:
cat > ~/templates/firewall.yaml <<EOF parameter_defaults: ExtraFirewallRules: '300 allow custom application 1': dport: 999 proto: udp '301 allow custom application 2': dport: 8081 proto: tcp EOF
注意如果没有设置
action
参数,则结果将接受
。您只能将action
参数设置为drop
、insert
或append
。
在
openstack overcloud deloy
命令中包含~/templates/firewall.yaml
文件。包括部署所需的所有模板:openstack overcloud deploy --templates / ... -e /home/stack/templates/firewall.yaml / ....