2.3. 从 overcloud 防火墙中删除服务


您可以使用规则来限制服务。您在规则名称中使用的数字决定了规则将插入的 iptables 中的位置。以下流程演示了如何将 rabbitmq 服务限制为 InternalAPI 网络。

流程

  1. 在 Controller 节点上,查找 rabbitmq 的默认 iptables 规则数:

    [tripleo-admin@overcloud-controller-2 ~]$ sudo iptables -L | grep rabbitmq
    ACCEPT     tcp  --  anywhere             anywhere             multiport dports vtr-emulator,epmd,amqp,25672,25673:25683 state NEW /* 109 rabbitmq-bundle ipv4 */
  2. 在环境文件 uder parameter_defaults 中,使用 ExtraFirewallRules 参数将 rabbitmq 限制到 InternalApi 网络。该规则的编号低于默认的 rabbitmq 规则编号或 109 :

    cat > ~/templates/firewall.yaml <<EOF
    parameter_defaults:
      ExtraFirewallRules:
        '098 allow rabbit from internalapi network':
          dport:
          - 4369
          - 5672
          - 25672
          proto: tcp
          source: 10.0.0.0/24
        '099 drop other rabbit access':
          dport:
          - 4369
          - 5672
          - 25672
          proto: tcp
          action: drop
    EOF
    注意

    如果没有设置 action 参数,则结果将 接受。您只能将 action 参数设置为 dropinsertappend

  3. openstack overcloud deloy 命令中包含 ~/templates/firewall.yaml 文件。包括部署所需的所有模板:

    openstack overcloud deploy --templates /
    ...
    -e /home/stack/templates/firewall.yaml /
    ....
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.