2.2. 将服务添加到 overcloud 防火墙


部署 Red Hat OpenStack Platform 时,每个核心服务都会在每个 overcloud 节点上使用一组默认的防火墙规则进行部署。您可以使用 ExtraFirewallRules 参数为其他服务创建规则来打开端口,或者创建规则来限制服务。

每个规则名称成为对应 iptables 规则的注释。每个规则名称都以三位前缀开头,以帮助 Puppet 订购最终 iptables 文件中的规则。默认的 Red Hat OpenStack Platform 规则使用 000 到 200 范围中的前缀。为新服务创建规则时,请为名称添加前缀,其三位数字高于 200。

流程

  1. 使用字符串在 ExtraFireWallRules 参数下定义每个规则名称。您可以在规则名称下使用以下参数来定义规则:

    • dport:: 与规则关联的目的地端口。
    • proto:: 与规则关联的协议。默认为 tcp
    • action:: 与规则关联的操作策略。默认为 接受
    • source:: 与规则关联的源 IP 地址。

      以下示例演示了如何使用规则为自定义应用程序打开附加端口:

      cat > ~/templates/firewall.yaml <<EOF
      parameter_defaults:
        ExtraFirewallRules:
          '300 allow custom application 1':
            dport: 999
            proto: udp
          '301 allow custom application 2':
            dport: 8081
            proto: tcp
      EOF
      注意

      如果没有设置 action 参数,则结果将 接受。您只能将 action 参数设置为 dropinsertappend

  2. openstack overcloud deloy 命令中包含 ~/templates/firewall.yaml 文件。包括部署所需的所有模板:

    openstack overcloud deploy --templates /
    ...
    -e /home/stack/templates/firewall.yaml /
    ....
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.