2.4. 从 overcloud 防火墙中删除服务

您可以使用规则来限制服务。您在规则名称中使用的数字决定了规则将插入的 iptables 中的位置。以下流程演示了如何将 rabbitmq 服务限制为 InternalAPI 网络。

流程

在 Controller 节点上，查找 rabbitmq 的默认 iptables 规则数：

sudo iptables -L | grep rabbitmq

[tripleo-admin@overcloud-controller-2 ~]$ sudo iptables -L | grep rabbitmq
ACCEPT     tcp  --  anywhere             anywhere             multiport dports vtr-emulator,epmd,amqp,25672,25673:25683 state NEW /* 109 rabbitmq-bundle ipv4 */

Copy to Clipboard

Toggle word wrap

在环境文件 uder parameter_defaults 中，使用 ExtraFirewallRules 参数将 rabbitmq 限制到 InternalApi 网络。该规则的编号低于默认的 rabbitmq 规则编号或 109 ：

cat > ~/templates/firewall.yaml <<EOF
parameter_defaults:
  ExtraFirewallRules:
    '098 allow rabbit from internalapi network':
      dport:
      - 4369
      - 5672
      - 25672
      proto: tcp
      source: 10.0.0.0/24
    '099 drop other rabbit access':
      dport:
      - 4369
      - 5672
      - 25672
      proto: tcp
      action: drop
EOF

cat > ~/templates/firewall.yaml <<EOF
parameter_defaults:
  ExtraFirewallRules:
    '098 allow rabbit from internalapi network':
      dport:
      - 4369
      - 5672
      - 25672
      proto: tcp
      source: 10.0.0.0/24
    '099 drop other rabbit access':
      dport:
      - 4369
      - 5672
      - 25672
      proto: tcp
      action: drop
EOF

Copy to Clipboard

Toggle word wrap

注意

如果没有设置 action 参数，则结果将 接受。您只能将 action 参数设置为 drop、insert 或 append。

在 openstack overcloud deloy 命令中包含 ~/templates/firewall.yaml 文件。包括部署所需的所有模板：

openstack overcloud deploy --templates /
...
-e /home/stack/templates/firewall.yaml /
....

openstack overcloud deploy --templates /
...
-e /home/stack/templates/firewall.yaml /
....

Copy to Clipboard

Toggle word wrap

返回顶部

2.4. 从 overcloud 防火墙中删除服务

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links